11月29日,腾讯云黑客松智能渗透挑战赛决赛落下帷幕,来自全国各地的400多名顶尖白帽子、战队代表与行业专家齐聚羊城,共同见证了一场以“AI智能体”为主角的高水平攻防竞技。
在这场国内最大规模的大模型安全挑战赛上,数百支顶级战队巅峰对决,用超级AI智能体完成了曾经需要比拼人力的“探索-规划-利用”渗透流程,标志着安全攻防正式迈入了以AI驱动的新质生产力时代。最终,来自长亭科技的“长亭外”战队,凭借自主研发的“AI自主渗透智能体”,以高达94%的渗透成功率一举夺冠。
腾讯云副总裁董志强表示:当前,AI大模型已深入千行百业,但其技术本身也催生了全新的安全挑战,攻击者正借助大模型实现自动化探测、智能伪装与精准钓鱼,而防御方也需构建“自适应、自学习、自响应”的智能防线,以应对攻防效率的指数级提升。“懂业务、懂模型、懂攻防”的复合型人才已成为行业最稀缺资源。正因如此,本次比赛旨在激发年轻力量在真实场景中锤炼能力,共同探索AI与安全碰撞的创新领域。
此前线上赛阶段决出的战队可谓“星光耀眼”。清华大学、复旦大学、帝国理工学院、卡内基梅隆大学等国内外知名高校学生战队,鹏城实验室、中国科学院信息工程研究所等权威科研机构的专家战队以及阿里、京东、长亭等行业领军企业战队,代表了当前行业中的最强实力。
腾讯安全沙龙以前沿攻防技术深度研讨为核心,致力于构建开放协作的安全生态,已先后落地武汉、西安、成都、长沙、南京等城市,获得了业界广泛关注和认可。作为收官赛与总决赛,第6期赛制赛程全新升级,首次引入基于大语言模型(LLM)的智能体,打造业内首个、也是全行业迄今为止规模最大的以“Al+安全”为核心的大模型智能体渗透赛,共吸引了全球238支战队、518名顶尖选手参与,形成了“产学研用”共同促进、深度融合的安全竞技格局。
十强角逐“长亭外”战队问鼎
在决赛现场,腾讯云、中关村实验室、清华大学的专家及老师共同坐镇,见证十强战队的终极对决。各个战队围绕大模型安全场景提交了渗透测试方案,并通过技术演示、漏洞分析、防御建议等环节,分享了在本次比赛中的智能体设计实现思路,展现了AI时代安全攻防的最高水平。
冠军“长亭外”战队凭借自研的“AI自主渗透智能体”夺冠,该智能体融合了长亭科技在资产发现、漏洞利用等方面的经验,采用“探索-规划-利用”三阶段策略,实现了超过94%的渗透成功率,探测并利用了至少98个漏洞。方案在大模型的路径规划、载荷构造和代码生成能力上,充分验证了国产大模型在驱动智能体方面的有效性。
本次大赛首次系统化验证了AI智能体在复杂渗透任务中替代部分重复性人工操作的能力,标志着渗透测试从“人力密集型”向“技术驱动型”的转变。经过数百支战队的实战验证,智能渗透测试不仅提升效率,更推动安全工程师从“执行者”转向“AI策略设计者”,实现能力重构,通过引领AI安全技术的发展,推动生产力变革。
可以预见,智能渗透技术的成熟将逐步优化传统安全服务中重复性劳动占比较高的业务模式。未来,乙方厂商需将资源聚焦于高阶威胁分析、策略制定与体系化防御设计,适应AI智能体协作的新业态。这一变化虽带来挑战,但也推动行业向更智能化升级,带来更大的发展机遇。
大模型驱动安全范式重构 新一代防御体系正在成型
在主会场,腾讯云安全专家及行业技术领袖、高校学者等众多专家,聚焦大模型生态安全、智能攻防技术演进、产业级安全解决方案等核心议题,共同分享了最新的研究成果与实践经验,为筑牢网络安全防线提供了更多新解法,推进了AI技术在安全领域的深度应用与范式创新。
变革一:以“智能对智能"的新一代防御体系正在形成
随着大模型逐渐成为新一代AI的基础设施,中国大模型应用正处于从“技术扩散期”迈向“场景深耕期”的关键节点,防御体系需进行从“单点布防”到“全链路防护”的体系化建设。
在供应链层面,大模型基础设施、模型开发、下游应用三个关键环节,都有可能成为攻击者的突破口。GEO投毒、反序列化漏洞、GPU容器逃逸等新型攻击技术的出现,将会进一步凸显传统单点防御的局限性,并且大模型生态不断复杂,大模型供应链的环节也将随之越来越多,因此,从单点式运维迈向全链路的智能化运维已经成为安全建设的重点方向。
在技术架构层面,构建模块化、透明可信地构建Agent框架成为关键突破点。一是在Agent编排上构建一条完整的压缩与规划的信息池,记录每一步推理路径,实现可校验的推理分析,提升恶意攻击监测能力;二是涉及标准化规格的AI插件,进一步降低开发门槛,提升整体安全可信度。
在具体实践层面,安全防护的范式不在于制定更多、更复杂的静态规则,而在于为每一个应用实例赋予一个能够理解其自身行为、并能根据实时上下文进行动态决策的“免疫系统”。如构建WAF+RASP+EDR的立体、纵深的防御体系是十分有效的防御手段,RASP可以通过在应用层的实时监控和拦截攻击,有效弥补WAF与EDR在应用层的检测盲区,实现对0day攻击的精准拦截。
变革二:大模型重塑安全生产力,从“手工艺”迈向“AI工程化”
安全领域正在经历一场深刻的生产力变革。安全能力正从一种高度依赖个人经验的“手工艺”,转变为一种可规模化、可复制的“AI工程化”能力。这一转变不仅提升了安全工作的效率,更重新定义了安全能力的边界。
在代码安全领域,大模型正在改变传统的漏洞挖掘模式,AI Coding在提升开发效率的同时,也可能指数级放大风险敞口,但传统的解决方案面临工具和效率瓶颈。目前兴起的AI漏洞猎人,基于大模型和智能体自动化分析代码、识别潜在漏洞并优化安全检测流程,帮助企业大幅提升漏洞挖掘效率和准确性。
在二进制安全领域,长期面临着重复劳动、门槛较高、效率低下等系统性挑战。在传统安全工具体系中,漏洞挖掘始终面临着速度、深度、广度三者难以兼得的困境。这样的背景下,AI正在成为攻克重复劳动和知识壁垒的最优解,将二进制安全从“手工艺”推向“工程化”,从“精英游戏”推向“规模化生产”。
具体到行业实践上,随着汽车行业智能化、网联化的加速,新型网络安全风险和挑战也愈加凸显,安全测试的复杂性也呈指数级增长。可以通过AI Agent串联工具,让车辆数据本地化、统一接口标准化、决策和执行智能化,实现AI主动化、自动化安全,助力车联网安全测试与分析正从高度依赖专家手工操作,向由AI智能体驱动的自动化、智能化平台演进。
*腾讯安全公众号将整理发布本次活动嘉宾分享全文,敬请关注。
在圆桌对话环节,数世咨询创始人兼CEO李少鹏,腾讯云安全总经理苏建东,广州大学教授王志刚,顺丰科技安全总监梁博,百纳优邦创始人,HackingGroup HG010C第一发起人任芊霓,长亭科技首席技术官刘金钊等行业大咖还围绕模型安全、智能攻防、人才培养与生态协同等关键议题,从“攻、防、研、用”等多元视角共同探讨了在各产业AI+安全的最佳解法,为千行百业提供了智能时代的安全新范式。
腾讯云鼎实验室攻防负责人李鑫表示,腾讯云希望携手各界,打造一个开放、协同、共赢的安全生态,共同定义AI时代攻防新标准,驱动中国安全技术从“追跑”到“领跑”,做AI安全的“技术策源地”。未来,腾讯安全沙龙也将继续走进全国重点城市,深化产学研协同,推动技术落地与人才培养,同时也将开放更多实战平台、认证体系与孵化资源等,助力每一位热爱安全的人才,从“极客”成长为“专家”,从“选手”蜕变为“引领者”,共同为网络安全建设贡献积极力量。
(推广)