360 AI安全研究院最新发布的报告显示,AI驱动的漏洞挖掘技术正从实验室走向实战应用,标志着网络安全领域进入以真实系统验证为核心的新阶段。报告强调,未来AI安全竞争的核心将不再是单纯发现潜在漏洞,而是能否在复杂环境中实现漏洞的全生命周期管理,包括发现、分析、修复和风险阻断。
传统网络安全攻防以漏洞为关键资源,但AI技术的介入正在重塑这一格局。报告指出,随着大模型和智能体技术的突破,漏洞挖掘已从依赖专家经验的模式,转向自动化协同与真实系统验证的新范式。这种转变意味着,AI安全能力必须经受住实际场景的考验,而非停留在技术演示层面。
全球范围内,Anthropic Mythos、Fable 5等高能力模型的应用场景正不断拓展。从访问控制到关键基础设施防护,从软件供应链治理到真实攻击链模拟,这些技术已开始在多个领域发挥实质性作用。报告特别提醒,AI漏洞挖掘能力正在成为国家战略安全的重要组成部分,中国需加快构建自主可控的技术体系。
当前AI漏洞挖掘领域形成两大技术路线:一是以基础大模型为核心的"能力涌现路线",通过模型的代码理解和推理能力发现潜在漏洞;二是以安全智能体为中心的"工程实战路线",将专家经验、知识库和攻防数据整合为可持续运行的自动化系统。报告认为,两条路线各有优势,前者覆盖面广,后者更贴近实战需求,而真正的技术分水岭在于能否在真实环境中完成漏洞的全流程处置。
360漏洞挖掘智能体的实践成果为这一观点提供了有力支撑。该系统在对OpenClaw核心及其衍生产品的分析中,发现23处独立安全漏洞,其中12处为高危级别;在Flowise安全审计中,更挖掘出13个真实0day漏洞,其中5个已完成修复。这些漏洞涉及认证绕过、远程命令执行等多种类型,暴露出智能体框架在权限管理和数据流转方面的新风险。截至目前,该智能体已累计发现3432个漏洞,其中105个获得监管部门确认。
报告特别关注智能体生态中的"多米诺风险"现象。由于框架、工具和权限的关联性,单个上游漏洞可能通过生态链传导至多个下游产品,形成系统性安全威胁。这种风险特征要求安全防护必须从单点突破转向全链条治理,涵盖模型、工具、数据和业务流程等多个维度。
据悉,即将于北京举办的ISC.AI 2026大会将聚焦"智能体颠覆安全"主题。360计划在会上展示漏洞挖掘智能体的最新进展,包括如何将技术深度融入办公、开发和运维等真实场景,推动安全运营能力的全面升级。这场技术变革预示着,网络安全竞争正从模型能力的单点比拼,转向涵盖工具链、数据资源和治理流程的系统化对抗。
