360家的智能体已经在批量挖洞了。
Anthropic不是有个很牛的模型Mythos吗,能自己找软件漏洞,结果他们因为发现得太快太多,觉得不安全,就给锁起来了,只给少数机构用。这事在安全圈闹得挺大。
但360这边,他们自己搞的漏洞挖掘智能体,最近公开了两个大发现:一个藏了快5年的Windows内核提权漏洞,还有一个藏了整整8年的Office远程代码执行漏洞。这两个漏洞加起来影响全球超过10亿用户,都已经上报并修复了,360还收到了微软的官方致谢。
这应该是国内第一次公开说智能体能规模化发现这种核心漏洞。不过,这俩可能只是冰山一角。
Windows内核那个漏洞,潜伏了5年,意味着传统的人工审计方法一直没发现它。攻击面很广,只要是跑Windows的系统,都可能中招。
Office那个更离谱,高危级别,潜伏8年,用户可能只是打开个Word或PPT文件,设备就被远程控制了。传统检测方法对这个漏洞也一直没辙。
用AI挖洞,对模型的要求其实比普通写代码、读代码高多了。它需要做状态推理、路径规划这些高阶操作,可以说漏洞挖掘是检验AI Agent推理能力的“图灵测试”。
360的智能体不只是发现了一个可疑点,它还能把完整的攻击路径给还原并验证出来。整个过程是全自动的,不需要人插手。
速度上差别就更大了。传统专家审计这种级别的漏洞,可能要几个月甚至几年。而360的智能体把这个过程压缩到了分钟级。成本也打下来了,过去挖一个内核级0day可能要几十万美元,现在边际成本几乎为零。
360走的路子和Mythos不太一样。Mythos是靠超大模型去“读代码猜漏洞”。360是把自己20年的攻防实战经验,还有超过310亿的攻击样本,给“蒸馏”进了模型,然后搞了一套多智能体协同的“蜂群”系统。
这套系统里有不同的智能体分工:有的负责分析攻击面,有的负责审计代码,有的负责验证漏洞并生成利用代码,还有的负责出报告。从代码进来,到报告出去,全流程自动化闭环。
说白了,理解代码是一回事,懂得怎么在真实攻防环境里找漏洞、利用漏洞是另一回事。360靠的是实战积累。
他们这套系统已经挖出来近千个漏洞了,其中被确认为高危的超过50个,覆盖了Windows、Office、安卓、物联网设备、国产系统等等。
现在有个新情况。Mythos出来后,Anthropic拉了个叫“Project Glasswing”的安全合作计划,成员包括AWS、苹果、微软、谷歌这些大厂,但里面没有中国企业。
这趋势有点明显了:数字安全能力正在形成新的格局,就像芯片和操作系统一样,自主可控才能守住底线。
360很早就明确,漏洞是战略资产,不能外流。他们坚持自主挖掘、自主上报,就是在打造自己的漏洞发现体系。当AI能规模化、自动化挖洞时,防守的思路就变了:只要我方的AI扫描和修复速度比对方攻击者快,对方的漏洞武器库就会失效。
AI全面进入漏洞挖掘,意味着网络安全要从“人与人对抗”变成“人与机器、机器与机器对抗”的新阶段了。传统安全体系会失效,智能体会成为新的基础能力。360的实践,算是给这个智能体时代的安全建设,提供了一个“中国方案”的参考路径。
