问题:高价值漏洞挖掘长期面临“效率与覆盖面”两难。
随着软件系统规模扩大、业务链路复杂化,漏洞往往隐藏在多模块交互、权限边界与流程控制之中。
传统依靠人工审计与经验驱动的测试方式,虽然精度高、可解释性强,但对人员熟练度、业务理解和时间投入依赖明显,难以在限定周期内实现大范围、高强度的持续排查。
尤其在竞赛与实战场景中,时间窗口紧、目标环境复杂,如何在保证准确性的同时提升发现速度,成为行业共同课题。
原因:一方面,近年来数字化应用加速落地,互联网服务、企业内部系统、云原生组件的耦合程度提高,使漏洞链条呈现“组合化、叠加化”趋势,单点发现不足以还原整体风险。
另一方面,自动化开发与代码生成工具广泛使用,代码迭代频率显著提升,安全审计的工作量随之快速增长,单纯依赖人力难以覆盖新增代码与变更路径。
此外,攻防对抗不断升级,攻击者也在利用自动化手段加速漏洞搜索和利用链构造,倒逼防守侧提升工具化与智能化水平。
影响:本届大赛在成都举行的“漏洞防护赛”,以发现、验证并演示高价值漏洞为核心目标。
安恒信息卫兵实验室与恒脑团队在该赛项中获得第三名。
值得关注的是,赛事首次出现以安全智能体形态参赛的选手。
团队介绍,该智能体在漏洞挖掘全流程中实现较高程度的自动化协同:能够在较短时间内完成线索收敛、关联分析与验证复现;对多类漏洞之间的组合风险进行归并研判,形成更完整的风险视角;在复杂业务逻辑场景中,通过快速定位相似代码模式与同类风险路径,扩大排查覆盖范围。
安恒信息研究院相关负责人表示,相较于“依靠经验逐点突破”的传统方式,智能化方法更像对代码与业务类型进行结构化扫描与聚类,从而批量识别共性隐患,提升效率与覆盖广度。
对策:业内人士认为,安全智能体的引入并不意味着弱化专家作用,关键在于形成清晰分工与闭环治理。
一是建立“人机协同”的作业链条:专家聚焦高难度漏洞机理研判、利用链验证与攻防策略设计,将经验沉淀为可复用规则、样本与流程,推动智能体持续迭代;智能体承担大规模筛查、相似场景扩展与重复性验证任务,降低基础工作成本。
二是完善工程化与合规化边界:在竞赛与授权测试之外,企业落地需强化数据安全、权限控制、审计追踪与结果复核机制,确保自动化能力可控、可追溯、可解释。
三是面向“组合风险”加强防护体系建设:通过将漏洞发现与资产识别、威胁情报、入侵检测联动,提升从“发现”到“修复”再到“验证”的闭环效率。
前景:随着软件生产方式加速演进,安全防护将更加强调“速度、规模与持续性”。
安全智能体参赛并取得成绩,释放出一个信号:在高强度对抗环境中,智能化能力有望成为提升漏洞治理效能的重要抓手。
未来一段时期,行业竞争焦点或将从单点工具能力转向体系化能力建设,即以模型、数据、流程、专家经验与平台工程协同驱动,实现对复杂系统的持续评估与动态防护。
同时,赛事平台的探索也将推动技术标准、人才培养与行业方法论加速迭代,为网络空间安全能力现代化提供更多可复制的实践样本。
从“天府杯”的实战检验可以看到,网络安全竞争的焦点正从单点技术突破走向以体系能力为核心的综合较量。
智能化手段带来的不是简单的工具替换,而是效率、覆盖与视角的结构性升级。
坚持以实战为牵引、以协同为路径、以闭环为目标,推动人机优势互补,或将成为提升漏洞治理水平、夯实数字安全底座的关键一步。