马库斯花了十一年学会像侦探读犯罪现场一样读代码。他可以花三天研究一个函数,追踪数据如何在系统中流动,搜寻能让攻击者趁虚而入的细微逻辑错误。上个月,他用AI辅助审计了一个目标,换作以前需要四周。那次只用了六个小时。漏洞都在——精致的输出,按严重程度分类,还附带了修复建议。马库斯往椅背一靠,感觉到一种他无法立即命名的情绪。"我曾经知道自己是谁,"他说。"现在我不确定了。"
这就是杰夫TK在分析文章中所描绘的文化断裂——AI工具正在分化两种截然不同的漏洞研究传统。第一种是对抗性文化:黑帽发现——研究者寻找漏洞是为了荣誉、漏洞赏金,或更黑暗的目的。第二种是制度性文化:安全开发——代码审查实践、渗透测试节奏、机构历史上构建防御专业能力的方式。这两种文化正被同一股技术力量重构,但代价落在每一方的身上并不相同。
对于机构安全团队来说,AI分拣大体上是受欢迎的。曾经等待数月才能获得外部渗透测试的组织,现在可以运行持续自动化分析。曾经花费数周审计遗留代码的高级工程师,可以将注意力转向架构问题。效率提升是真实可衡量的。但这种生产力被包裹在一种微妙的剥夺感中:那些教会初级工程师逆向思考的日常实践——缓慢、审慎地寻找缺陷的工作——正在被自动化消除,而那些工程师尚未培养出从手动操作中获得的直觉。
黑帽一方则呈现出更尖锐的悖论。AI降低了漏洞发现的门槛,这意味着应该有更多研究者进入该领域。但相反,许多资深发现者报告了一种隐秘的意义危机。曾经赢得尊重的技能——耐心的代码考古、创造性的利用、编写可靠概念验证的技艺——在模型能在几秒钟内生成可行候选的情况下,变得不那么重要了。建立在数十年基础上的地位等级制度正在瓦解,不是因为工作变得更容易,而是因为工作感觉不同了。"谁是真正的漏洞研究者?"这个问题已经没有舒适的答案。
有一些值得认真对待的反论点。更多人现在能找到以前无人发现的漏洞。漏洞赏金项目报告提交量增加,解决问题的时间缩短。AI辅助而非替代最重要的判断——决定什么是真正可利用的,评估爆炸半径,选择报告什么。这些是对技术的有力辩护。
但它们错过了马库斯及其类似研究者正在哀悼的东西。安全领域的专业身份从来不仅仅关乎产出。它关乎过程:多年的模式识别、日积月累的直觉、作为拥有自己仪式和价值观的工艺传统一部分的感觉。自动化产出不仅改变了产出内容——它改变了作为产出者的意义。
安全社区尚未明确地处理这个问题。会议上演讲聚焦于工具链和基准测试。招聘帖子强调"AI辅助"工作流程,却没有承认当人类注意力被重新定向或消除时什么会丢失。与此同时,做实际文化工作的人——定义专业能力意味着什么、决定谁属于这个圈子——大多保持沉默。
当一项专业的工艺身份被自动化时,这个职业会发生什么?其他领域提供了部分答案。智能手机让每个人都成为摄影师时,摄影并没有消亡;它在策展和艺术视野周围重新配置。但安全缺乏这种清晰的分离。AI发现的漏洞和人类发现的漏洞占据着同一个漏洞报告、同一个CVE、同一个补丁周期。区分它们对问责、学习、维持使对抗生态系统保持健康的微妙生态平衡都很重要。
马库斯没有停止工作。他在学习使用这些工具,调整他的实践。但他描述了一种持续的迷失感,一种他花费十多年建立的专业能力根基已经动摇的感觉。"我还能做这份工作,"他说。"我不确定还能不能做这份志业。"这种区别——能力与意义之间的区别——是安全行业需要在文化代价变得不可逆转之前解决的问题。