智东西

作者 | 陈佳

编辑 | 程茜

智东西4月27日报道，4月25日，第二届腾讯云黑客松智能渗透挑战赛决赛收官，这是国内首个智能体安全攻防赛。和以往真人上手敲代码、挖漏洞的比赛不同，这场比赛的玩法是，参赛队伍需基于国内外的大语言模型开发一个原创AI智能体，全程无人工干预，让AI自动在云端虚拟靶场探测漏洞、闯关渗透、夺取通关Flag。

本次赛事设置四大阶梯解锁赛区，赛题从基础漏洞挖掘到企业内网高阶渗透逐层进阶，赛事方结合通关得分与攻防综合表现划定最终排名。决赛共有10支队伍入围，最终由来自绿盟科技的“ai小分队”拿下总冠军及6万元冠军奖金，天翼安全、京东科技、清华大学等企业及高校队伍位列其后。

▲第二届腾讯云黑客松智能渗透挑战赛决赛颁奖，来自绿盟科技的冠军战队获6万元奖金

整场赛事最让人意外的，不是高难度攻防关卡难住选手，而是一道在人类看来简单到“离谱”的密码题，把全场所有AI战队集体“干熄火”，就连冠军战队也被硬控两天，到比赛结束都未能破解。

这道题没有复杂加密，通关密码就是一串简单字符“Ftp@2026”。可参赛AI背后的大模型训练数据截止到2023年，这让AI们被困在了“时间认知茧房”里面。即在AI的认知里世界只有2023年，压根不认识2026这个未来年份，只会反复循环尝试老旧年份密码，怎么都绕不出来。

▲腾讯安全沙龙分享现场

腾讯安全云鼎实验室攻防负责人李鑫说，比赛前期的题目参赛选手完成得都特别快，原本以为这场为期五天的赛事很快就能顺利收官、全程没有阻碍，没想到偏偏就是这一道题把所有参赛团队都难住了。

本届赛事共吸引610支战队、1345名安全研究者与开发者报名，晋级决赛的十强既有绿盟科技、天翼安全、京东科技等企业安全团队，也有清华大学等高校及个人开发者。更让人惊喜的是，10后新生代已经开始崭露头角，多位初、高中生杀入赛场同台竞技。

决赛当日下午，腾讯安全云鼎实验室攻防负责人李鑫、腾讯安全入侵应急响应组负责人张迅迪、腾讯云安全总经理兼云顶实验室首席架构师李滨，与冠军战队一同讨论了智能体时代的安全攻防战，并就大小模型协同架构、AI安全能力边界、安全防御逻辑重构等议题深入分享了各自的观点。

关于网络安全防御的本质，李鑫告诉智东西，没有绝对安全，防御某种程度上只是心理安慰。攻防博弈的核心是成本，过去攻方以极小成本碾压防御，但AI时代防御端借技术平权进步更快，攻击也变得更隐蔽。李鑫认为，未来的出路在于搭建“AI对抗AI”的安全免疫系统，让系统自主识别、修复攻击，告别传统人工打补丁模式。

▲腾讯安全入侵应急响应组负责人张迅迪（左）、腾讯安全云鼎实验室攻防负责人李鑫（中）、腾讯云安全总经理兼云顶实验室首席架构师李滨（右）

一、冠军靠三层架构与Harness框架夺冠，大小模型协同才是AI攻防的真实解法

决赛现场，十强战队围绕赛事渗透测试方案展开路演，依次展示各自的智能体设计与实现思路。其中，来自绿盟科技的“ai小分队”凭借领先的智能体架构设计与Harness框架理念脱颖而出。

▲第二届腾讯云黑客松智能渗透挑战赛决赛现场

在比赛实战解题环节，“ai小分队”依托三层架构底座、Manager全局调度、多Solver协同、Harness长任务保障的思路，打造出适配赛事与真实渗透场景的作战方案。该战队于隔离云端靶场内接连攻克四大赛区关卡、斩获高分，拿下本次赛事冠军。

李滨总结了AI攻防的最优架构逻辑：通用大模型、垂类模型与智能体三者并非替代关系，而是协同分工。智能体承担核心调度与流程推进的中枢作用，通用大模型负责全局战略规划与方向把控，垂类模型则针对细分场景提供低成本、高效率的定制化解法。

他认为，盲目追求超大参数模型并不现实，安全攻防的核心约束始终只有三个：时间、效率、成本，在这三重条件下，大小模型融合兼用才是行业最终的发展方向。

从本届参赛选手的设计方案来看，十强战队底层架构大体一致，普遍采用通用智能体的ReAct架构，差异主要集中在上层的任务编排逻辑与工具调用策略上。

本次智能渗透挑战赛中，各参赛团队Token消耗成本在7000元至1万元区间。李鑫解释，智能渗透进攻本身属于高消耗任务，不同于常规日志分析、样本研判等安全防御工作，AI进攻需要全程扫描靶场环境、捕捉各类细微线索，伴随大量试错和无效探测。渗透测试就像“翻垃圾箱”，需要从庞杂信息里筛选碎片、拼凑突破路径，因此赛事里负责进攻突破的AI智能体，大模型调用量与Token成本，远高于常规安全防御类作业。

二、所谓防御只是一种心理安慰？要搭建一套健壮的安全免疫系统

关于网络安全防御话题，李鑫认为，网络不存在绝对安全，所谓防御在某种程度上，只是一种心理安慰。

他向智东西解释了这句话背后的逻辑：安全攻防的本质是一场博弈，而这场博弈最关键的变量是成本。攻防双方的成本天生不对等，且这种成本边界还在不断变化。

过去，攻防失衡的情况非常严重。由于防御人才短缺、防御体系本身存在短板，攻击方往往可以用极小的成本，轻易对防御体系形成碾压性突破。

但进入AI时代后，局势已经彻底改变。李鑫说，技术平权趋势开始显现，防御端借助AI能力，整体防护提升的速度非常迅猛，整个攻防格局正在被重新改写。攻击方虽然也在借助AI升级手段，但防御侧的进步速度整体快于攻击侧。

在这样的新博弈关系下，企业和机构的防御投入逻辑也会随之改变，不管是硬件投入还是各类安全资源配置，都和过去完全不同，未来的防御体系会更加依赖算力支撑。

从攻击视角来看，李鑫认为，AI时代的攻击行为会越来越隐蔽。过去人工开展攻击，会带有个人行为习惯、思维局限和操作破绽，但在AI加持下，只需一条提示词、一条简单指令，就能完成高度隐蔽的攻击全程，很难被察觉。

李鑫告诉智东西，他和团队近期一直在观察研判攻防格局的演变，研讨如何真正实现“AI防AI”，落地“AI对抗AI”的安全防御体系。他们此前观察到，某智能体在遭遇攻击时，能够根据日志和环境信息自主判断被攻击、定位风险，并自行完成修复。李鑫认为，如今的AI和智能体，已经具备初步的自愈能力和免疫能力。

这也意味着，未来的安全防护，会从过去人工打补丁、人工处置的模式，全面转向系统自我防御。李鑫说，只要搭建一套健壮的安全免疫系统，系统就能自动识别攻击、自动完成防御对抗。

这是安全思维层面的根本性转变。李鑫坦言，传统的攻防思路在AI快速迭代的时代已经越来越局限，他们也希望多和白帽子、行业从业者线下交流碰撞，吸纳新生代从业者的不同视角，共同探索AI安全的全新方向。

三、AI带来三大安全本质变化：漏洞激增、信任重构、防护逻辑倒置

李滨梳理了AI浪潮带来的三项本质性安全变化。其一，AI大幅提升了软硬件研发效率，海量新增代码同步带来了指数级增长的基础缺陷，防御方需要处理的安全问题相比以往至少增加十倍。与此同时，传统供应链漏洞持续存在，而通过提示词和上下文注入植入恶意指令的新型攻击门槛大幅降低，隐蔽性也更强。

其二，智能体全面介入生产流程，打破了原有的身份信任模型。当用户以个人身份和权限授权智能体访问内部资源后，一旦出现操作失误或被恶意操控，就会直接以使用者身份执行删除文件、篡改数据等操作。多人与多智能体混合协作的场景下，权限混用、身份模拟、Token滥用等问题难以界定，身份判定将成为AI时代最棘手的底层难题。

其三，AI打破了系统间的隔离边界，彻底颠覆了传统安全防护逻辑，只要信息能够进入大模型上下文，恶意指令就可以跨系统、跨权限执行。当前多数智能体缺乏提示词安全校验和违规指令识别机制，传统层层设防的外部防护思路面临根本性挑战，防护方向不再只是抵御外部入侵，还要防范内部横向渗透与智能体之间的互信风险。

张迅迪则从应对侧补充了防御思路。针对AI攻击的自动化特点，可强化二次认证机制阻断连续推进，同时部署欺骗防御手段，对扫描和异常请求返回虚假信息，为防守研判争取时间。他同时强调，精细化权限管控、核心数据加密等传统基础防御在AI时代反而需要做得更细、更快，夯实基础防御叠加AI能力，才能有效应对攻击速度快、泛化能力强的新型威胁。

结语：AI重塑安全攻防体系，行业迈向“AI对AI”的长期博弈

从这场比赛的结果来看，AI在安全攻防领域的实战能力已经超出了大家的预期。原本设计供选手鏖战五天的赛程，头部战队两天内基本收尾；半年前被视为高难度的题目，随着模型迭代和开源生态的成熟，攻克难度下降。

但本次比赛中AI们没能破解的那道“Ftp@2026”密码题，也同样清晰地划出了当下智能体的能力边界。AI的短板不在算力，不在架构，而在于对真实世界的理解与对齐。一旦脱离训练数据的时间范围，再强的推理能力也可能陷入低级循环。这种认知缺口，在依赖环境感知与现实信息的安全攻防场景中，会被放大。

另一方面，从本次赛事也能观察到行业发展的潜在趋势。通用大模型、垂类模型与智能体三者协同的架构体系，或将成为AI智能体安全落地的方向。攻防对抗模式正逐步从“人对人”向“AI对AI”演变，而支撑这场演变持续推进的核心变量，是时间、效率与成本的权衡。