AI挖洞！360智能體破局玻璃之翼，揪出微軟5年內核漏洞

人工智能與人工智能的對抗，其實已經在日常不太關注的領域開始了。

這片戰場上沒有激光亂飛，沒有鐵甲鋼拳。但基于代碼與數據的攻防，更殘酷、更隱秘，而且正在一點點改變世界。

最近，美國那邊又搞出了一個新動作。

這次不是芯片制裁，也不是TikTok禁令，而是一個聽起來很科幻，也很讓人迷惑的詞——“玻璃之翼”（Project Glasswing）。

事情的起因，是一家叫Anthropic的美國AI公司，搞出了一個代號Mythos的“超級找茬AI”。它能自動在海量的軟件代碼里，把藏得極深的漏洞（后門）給揪出來。

很有意思的是，Anthropic搞這套機制的初衷，其實是為了“自查”。因為他們覺得以后AI產出的東西太多、邏輯太復雜，人類根本盯不過來。所以他們本來只是想做一個“AI監督AI”的安全工具，保證自家模型不會胡作非為（比如寫出帶安全漏洞的危險代碼）。結果無心插柳，為了防風險而逼著AI練出來的這套“自我挑刺”能力，反而讓它在挖掘漏洞方面降維打擊了其他對手。

但無意間，他們打開了潘多拉的魔盒。他們發現，這個AI模型在挖掘漏洞方面的能力，已經能“超越除最頂尖人類之外的所有人”，速度比人類快了幾個數量級。

就在安全行業從業者驚嘆科技發展之時，Anthropic卻順勢搞出了“玻璃之翼”計劃，聲稱要讓漏洞像蝴蝶透明的翅膀一樣無所遁形，并迅速拉攏了微軟、蘋果、谷歌、英偉達等40多家西方科技巨頭，搞了一個“安全同盟”。

事情到了這里，就起了微妙的變化。

這個同盟里，沒有一家中國企業。這意味著什么？這意味著這幫巨頭手里拿著最鋒利的AI探雷針，嘴里喊著為了網絡安全，心里打的卻是“單向透明”的算盤：

過去20年，中國好不容易建立起了強大的網絡安全防御體系，抹平了美西方在網絡空間的優勢。西方精英想像當年工業革命時壟斷蒸汽機技術那樣，在全自動化的AI時代，壟斷“找漏洞”的機器能力。

這種壟斷一旦達成，意味著攻擊方可以輕易掃描出成百上千個新漏洞。他們的系統排雷了，而被排除在外的國家和企業，系統將瞬間被打成“篩子”，完全不設防。

這是一種單向透明，也是一種極其危險的不對稱威脅。

可以說，這樣的想法和做法，讓“玻璃之翼”，從一個技術進步，演變成地緣政治級別的數字霸權圈地運動。

但是，這個如意算盤，未必能敲得響。

對此怎么看？簡單說粗淺三點：

第一，不用慌，因為在AI安全軍備競賽這張牌桌上，中國不僅沒缺席，而且直接亮了劍。

就在“玻璃之翼”企圖壟斷防御高地時，中國的安全巨頭360也拋出了自己的王炸——“漏洞挖掘智能體”。

這套系統一出手，就揪出了微軟Windows潛伏了近5年的內核級漏洞，以及Office里藏了8年的最高危漏洞。請注意一個極其關鍵的細節：這些長期逃過傳統安全檢測的“老毒物”，甚至是在人類安全專家完全不知曉、沒給任何提示的情況下，被智能體“自己”掃描出來的。

360的做法，是將國內頂尖安全專家過去20年積累的攻防樣本、戰術理解“蒸餾”給了智能體。這證明了中國在AI挖掘漏洞這場競賽里，不僅能打硬仗，而且具備了不可復制的實戰工業級能力。

第二，攻防的邏輯變了，這是“自動化流水線”對“手工作坊”的降維打擊。

為什么要搶奪“找漏洞”的能力？這就必須厘清一個殘酷的底層邏輯：漏洞，是數字時代最接近“戰略武器”的存在，它決定了攻擊是否可能發生，以及誰掌握先手權。

這本質上是一把極度危險的雙刃劍：挖漏洞的能力有多強，可轉化的攻擊能力上限就有多高。因為只要你比別人更早發現系統中的關鍵漏洞，你就等同于握住了一把可以繞開常規防御體系的“隱形鑰匙”。

這種能力的價值，并不是抽象的，我們可以從現實世界的漏洞交易市場中窺見一二。

在地下市場上，頂級“0day漏洞”早已被明碼標價。尤其是針對主流操作系統的“零點擊”高危漏洞，公開報價往往高達數百萬美元；而在更隱秘的交易中，由多個漏洞組成、能夠實現完整入侵路徑的“漏洞利用鏈”，甚至可能達到千萬美元級別。

資本和國家機器愿意為一段代碼支付如此高昂的代價，當然不是因為技術炫耀，而是因為這些代碼，能夠在關鍵時刻轉化為遠超其成本的破壞力與控制力。

還記得西北工業大學曾遭到境外黑客極其隱秘的網絡攻擊嗎？按照相關報道，事后溯源發現，幕后黑手就是美國NSA（國家安全局）旗下的特定入侵行動辦公室（TAO）。

他們靠什么長驅直入，在我們眼皮子底下竊取核心數據？靠的根本不是什么人海戰術，而是手里掌握著別人不知道的漏洞！一個長期未發現的高價值漏洞，往往意味著你花費巨額資金建造的傳統防御體系瞬間形同虛設。

以前，黑客挖漏洞，依靠的是極少數天才日復一日地閱讀代碼，效率低、周期長，屬于典型的“手工業”。

但現在，情況已經發生了根本變化。以ChatGPT為代表的生成式AI，讓代碼生產能力出現了指數級提升，與之相伴的，是漏洞也開始具備“規模化出現”的土壤。攻擊方不再是“單個黑客”，而是可以調度成千上萬個智能體，7×24小時持續掃描、測試和攻擊。

節奏，已經從“人類速度”，切換到了“機器速度”。

在這樣的體系下，單純依賴人工的防守方式，正在變得越來越吃力。

但變化并不只發生在攻擊一側。

還好，我們已經擁有了足夠出色的“機器體系”。360拿出的，不是單一工具，而是一整套分工明確的智能體架構：既有負責大規模代碼掃描、自動發現漏洞的智能體，也有負責驗證漏洞、生成修復方案的智能體，還有面向實戰場景的自動防御智能體。

這意味著一件關鍵的事情：

網絡安全，開始從“人力密集型”，轉向“系統能力型”。

在這套體系下，人類并沒有被替代，而是被重新分工，從“親自處理每一個報警”，轉變為“在回路中進行決策與指揮”。

過去，一個安全專家往往會被海量誤報和重復性工作消耗精力，而現在，他可以調度一組智能體完成篩查、分析和驗證，只在關鍵節點做出判斷。

人的價值，被從“執行”中抽離，重新集中到“決策”。而防守能力，則第一次具備了“規模化復制”的可能。

第三，真正的安全，是“用算力對抗算力”，御敵于國門之外。

面對機器化的攻擊體系，360集團創始人周鴻祎提出過一個非常明確的原則——“漏洞不出國”。

這句話的本質，其實是在強調一個前置邏輯——在漏洞被對手利用之前，就必須被自己發現并修補。

在海量代碼面前，等待攻擊發生再響應，已經不再現實。只有依靠更快的智能體，持續掃描、持續修復，才能把風險消解在發生之前。

也正因為如此，當“玻璃之翼”試圖構建一個單向透明的技術體系時，另一種路徑正在形成——以自主可控的智能體體系為基礎，建立對等的發現能力與防御能力，從而形成制衡。

這不是簡單的技術競爭，而是能力結構的對沖。

安全這件事，很像健康。

平時感覺不到它的存在，但一旦被察覺，往往意味著系統已經出現問題。

在普通人不太關注的數字世界里，攻防對抗從未停止。長期以來，我國一直是高級持續性威脅（APT）組織重點關注的目標區域之一。很多網絡攻擊，并不是在沖突發生時才啟動，而是在更早之前，就已經完成了滲透、潛伏與布局。

也正是在這樣的背景下，我們逐漸形成了一套更強調防守韌性的體系。

有一句古話說：“善攻者動于九天之上，善守者藏于九地之下。”在智能體逐漸成為能力倍增器之后，這種攻防關系正在被進一步放大，原本的人與人對抗，正在演變為“系統對系統”的對抗。某種意義上，這確實更接近于從“冷兵器對決”，進入“自動化集群作戰”。

在這樣的變化之下，防守本身也必須完成進化。

以360為代表的安全能力體系，通過長期積累的數據、樣本和攻防經驗，將“自動化掃描代碼”“成批發現漏洞”變成了一種穩定、可持續輸出的能力。這不僅改變了漏洞發現的效率，也延續了我國在網絡安全領域二十年來逐步建立起來的防御基礎。

這場發生在代碼深處的對抗，沒有硝煙，卻在重塑未來的安全格局。

對普通人而言，它并不遙遠。你的手機是否安全，你的銀行賬戶是否可靠，甚至你所在城市的基礎設施是否穩定運行，都與這套體系息息相關。

當有人試圖通過技術聯盟構建不對稱優勢時，另一種選擇也在同步推進：用自動化的智能體體系，建立屬于自己的安全能力。

這場機器與機器的較量，沒有人可以置身事外。

它沒有退路，也不允許失敗。

但至少從現在的能力格局來看，這并不是一場毫無準備的對抗。