思想领袖

边缘人工智能模型如何从根本上改变网络风险

mm
发布于

网络安全始终随着技术的重大转变而演变。云计算、SaaS扩张和分布式工作力提高了速度和连接性,同时也扩大了攻击者的机会空间。边缘人工智能代表着下一个转折点。像Anthropic的MythosOpenAI的Daybreak和最新一代大规模推理系统这样的模型已经展示了分析代码、识别漏洞和模拟利用路径的能力,具有以前所未有的深度和速度。

边缘人工智能最好被理解为软件公司几十年来使用的工具的下一个演化,而不是打破模式的颠覆。它不会消除网络安全,也不会突然给攻击者带来不可战胜的优势。在实践中,大多数漏洞仍然归结为基本的执行差距。例如,Arctic Wolf研究人员发现,76%的漏洞利用仅涉及10个已知漏洞,这些漏洞在被利用之前都有可用的补丁。挑战不是能力的缺乏,而是行动的速度和一致性,这正是边缘人工智能可以帮助的地方。

Mythos例如,已经展示了一个模型如何快速从漏洞发现转移到利用开发推理,跨复杂系统并揭示非明显的攻击路径。这些能力改变了软件生命周期中上游的可能性,但大多数现实世界的事件并不从一个漏洞开始和结束。它们源于系统的配置、身份管理和信号在实时环境中的解释方式。

压缩攻击生命周期

边缘人工智能改变的最重要的事情是网络操作的节奏。攻击者和防御者现在都可以使用比以往任何时候都快得多的工具。对于对手,像Mythos和Daybreak这样的模型,或甚至开源模型,缩短了漏洞发现和开发之间的时间。曾经需要专门的专业知识和数天的工作现在可以在几分钟内大规模完成。对于防御者,这些系统可以加速调查,关联大型数据集中的信号,并支持实时的决策。净效应并不是简单地让一方或另一方占据优势。它是整个攻击生命周期的时间压缩。

在这种环境中,分类变得更加关键。快速确定什么重要什么不重要是有效的安全操作的基础。边缘模型可以通过表面化模式、聚类相关活动和提出假设来帮助,但它们并不能消除人在环中的需求。它们不从活跃的企业安全操作中学习或观察,也不了解每个客户的独特安全环境或数据。

没有这种基础,即使是最有能力的模型的输出也可能引入更多的噪音而不是清晰度。

这种区别很重要,因为它强调了一个更广泛的误解。人们倾向于将每个新的边缘模型视为迈向完全自主网络安全的步骤。实际上,模型的能力和强大与它实际上改善组织网络弹性的有效性之间存在差异。这是因为在实时企业环境中的一致性性能需要在不完整的数据、快速变化的条件和竞争优先级下可靠地运行的能力,而边缘人工智能模型还没有具备这种能力——至少目前还没有。

企业差距:能力与背景

背景是这种差距变得最明显的地方。边缘模型是为一般推理而训练的,但网络风险对于每个组织来说都是非常特定的。模型识别的漏洞在一个环境中可能是关键的,而在另一个环境中可能是微不足道的。这种确定取决于诸如暴露、身份访问、数据敏感性和现有控制等因素。模型可以识别可能性,但了解哪些可能性转化为真正的风险需要对环境有持续的可见性和对其随时间行为的理解。

噪音的泛滥

随着这些模型变得更加强大,潜在发现的数量增加。Mythos、Daybreak或其他模型不仅仅识别一个问题。它们可以生成多个潜在的利用路径、变体和边缘情况。这就产生了一个新的挑战。更多的洞察并不自动带来更好的结果。没有强大的验证和优先级,组织可能会被可能性数量所淹没。准确性成为定义的指标,不是在识别每个理论问题或漏洞,而是在确定哪些问题最重要以及应该采取什么行动。

跨多步路径链接漏洞

边缘人工智能也正在改变攻击的构建方式。传统攻击通常专注于一个单一的领域,例如利用软件漏洞或泄露用户凭证。边缘人工智能模型使得更协调的方法成为可能,通过将应用程序、身份系统、云配置和用户行为中的弱点链接起来。这些多步骤攻击路径并不是新鲜事物,但人工智能降低了创建和执行它们的门槛。这反映了现代企业的现实,其中攻击面跨越了多个相互连接的层,但这增加了这些层被利用的速度和规模。

人工智能治理和人类层面

边缘模型也引入了新的风险类别。依赖人工智能的系统必须应对诸如提示注入、意外数据暴露和模型操纵等问题。因此,治理成为采用这些技术的关键组成部分。组织需要定义如何使用模型、它们可以访问哪些数据以及如何在采用人工智能之前验证它们的输出。

尽管取得了这些进步,人类专业知识的作用仍然至关重要。边缘模型擅长于生成和评估可能性,但它们不取代判断。关于业务影响、可接受风险和响应策略的决定需要超越技术指标的背景理解。经验丰富的安全从业人员提供了这种解释层,确保人工智能驱动的洞察被转化为适当的行动。最有效的方法不是用人工智能取代人类,而是以一种产生一致且可靠结果的方式将机器速度与人类判断力结合起来。

基础知识比以往任何时候都更加重要

同样重要的是要认识到边缘人工智能并没有消除强大的安全基础知识的需求。身份管理、补丁、分段和用户意识仍然是关键的控制措施。在许多情况下,这些基础知识变得更加重要,因为攻击者的能力提高。像Mythos和Daybreak这样的模型可能使复杂漏洞的发现速度更快,但许多漏洞仍然始于基本的差距,例如弱凭证或未修补的系统。例如,2026年Arctic Wolf威胁报告发现,85%的商业电子邮件泄露欺诈事件源于电子邮件钓鱼,这比2025年增加了11%。

忽视这些领域而专注于更先进的能力的组织不太可能在其风险态势中看到有意义的改善。

网络风险并没有被消除。它正在被重塑。它变得更加动态、更加相互关联、更加敏感于时间。成功于这种环境的组织将不是那些简单地采用最新模型的组织,而是那些将它们整合到一个连贯的运营框架中的组织。这包括在整个环境中保持可见性、以对对手行为的清晰理解为基础做出决策,并建立一致将洞察转化为行动的流程。

边缘人工智能扩展了网络安全中可能的范围。它提高了攻击者和防御者都能达到的上限。但定义性的挑战仍然相同。执行在真实环境中,在真实的约束下,具有真实的后果。这就是网络风险最终被管理的地方,也是这些技术的影响将被决定的地方。

mm

Dan Schiappa 是 Arctic Wolf 的技术服务总裁。在这个角色中,Dan 负责推动产品、工程、安全服务、联盟和业务发展团队的创新,以满足客户对安全运营的需求。加入 Arctic Wolf 之前,Dan Schiappa 是 Sophos 的首席产品官。

之前,Dan 曾担任 RSA 公司身份和数据保护集团的高级副总裁和总经理,RSA 公司是 EMC 的安全事业部。他还曾在微软公司担任过多个总经理职位,包括 Windows 安全、Microsoft Passport/Live ID 和移动服务。在加入微软之前,Dan 是 Vingage 公司的首席执行官。