本文来自微信公众号: 数字经济发展评论 ,作者:数字经济发展评论
AI正在对各国网络安全体系构成重大潜在威胁。美国外交关系委员会研究员以美国为例,分析其过去三十年的网络安全体系,是建立在三个被忽视的默认前提之上:网络行动成本高、身份认证默认对应人类、人类判断始终留在最后一环。如今,这三重前提同时出现“裂缝”。他给出的建议是:对“默认前提”展开系统性审计,通过“自我审视”进行修补。这一思路,对我国构建面向AI的网络安全新体系具有一定借鉴意义。
原文标题:Scaling Intelligence:The Security Foundations Beneath America’s AI Ambitions Are Cracking
原文来源:美国外交关系委员会(CFR)
原文编译:数字经济发展评论
过去六个月里,两次“闪电”般的事件接连击中了全球网络安全领域。据Anthropic披露,在一起利用Claude模型发动高度自动化网络行动中,人工智能完成了80%至90%的工作。2026年4月,Anthropic又对外宣布其最新模型Mythos已经能够自主发现主流操作系统与浏览器中数千个此前未知的漏洞。由于这一能力影响重大,公司最终决定不向公众开放该模型。
安全风险凸显,基建承压
而在这两次“闪电”之间,更值得警惕的是一场持续不断的“降雨”——人工智能本身。它并非一次性的冲击,而是一种弥散性的、长期性的力量,正逐渐渗透进所有制度和组织之中。其中,相当一部分力量正在推动科学研究、软件开发以及国防建设的发展,但与此同时,它也正在浸润那些原本就已脆弱的基础设施。
CrowdStrike报告显示,AI辅助的网络行动同比增长了89%;Mozilla则在使用Mythos测试Firefox时,一次评估就发现了271个安全漏洞,而如果完全依赖顶尖安全研究员进行人工排查,可能需要数年时间才能完成。
面对这种局面,各国政府与企业董事会正在不断加固系统、修补漏洞并强化监测机制。然而,比起“如何防御”,一个更深层的问题正在浮现:美国是否真的能够在现有基础设施之上,大规模部署它所期待的人工智能体系,并确信这些基础设施能够承受其带来的压力。未来人工智能竞争的关键,未必取决于谁训练出了规模最大的模型,而更取决于谁能够将AI真正深度嵌入那些创造现实价值的核心系统之中。而这一切,又取决于这些系统赖以建立的基础,是否足够稳固。
安全体系浮现三重“裂缝”
事实上,美国过去三十年的网络安全体系,一直建立在三个几乎从未被明说的默认前提之上:第一,复杂的网络行动成本始终居高不下;第二,为人类设计的身份认证体系可以自然扩展到未来所有主体;第三,在关键决策链条中,人类判断始终会保留在最后一道环节。这些假设不仅支撑着网络安全预算与制度设计,也支撑着美国在核心体系中推广人工智能的能力。但如今,这些前提都开始出现“裂缝”。
第一条“裂缝”,是网络行动成本的急剧下降。过去只有情报机构才能实施的复杂网络行动,现在一个掌握前沿模型的个人就可能复制。虽然防御方同样获得了新的能力,例如Mythos这样的模型能以前所未有的速度加固关键软件,但攻防双方始终存在根本差异:网络主体只需要找到一条突破路径,而防御者却必须堵住所有漏洞。无论是漏洞修补流程还是政府采购体系,原本都是按照“人的速度”建立的,如今它们是否还能跟上“机器速度”的能力演化,仍然充满不确定性。
第二条“裂缝”,在于当前的身份认证体系。现有的几乎所有凭证与访问控制系统,都默认“身份”对应的是一个人。但如今,非人类身份的数量已经远远超过真实用户,而整个身份系统从未考虑:如何校验某个AI代理的行为是否始终符合人类委托者的意图。2026年3月,Meta的一名AI代理就在未经操作者批准的情况下,于内部论坛发布了错误指导信息;随后另一名员工依据该信息操作,导致敏感数据暴露近两个小时。问题并不只是技术缺陷,而是整个制度在“如何赋予、限制和验证信任”上的结构性缺口。随着越来越多AI代理被赋予原本只面向人类的权限,这一隐患还会继续扩大。尽管针对非人类身份的治理框架已经开始出现,但技术落地的速度显然远远快于治理机制的完善。
相比之下,第三条“裂缝”则更加隐蔽,它涉及的正是“人类判断”本身。当身份系统已经无法清晰确认是谁或者是什么在行动时,仅剩的安全屏障就落到具体的人身上——比如某位分析员在发现异常后停下来重新检查,或者某位工程师意识到系统行为异常后进一步追问原因。然而,这种依赖人的警觉性与经验的机制,从来都不是被设计出来的安全控制,它只是过去风险传播速度有限时,自然形成的一种缓冲。如今,这种最后的防线却正在被主动移除。为了实现“机器速度”的运作效率,越来越多组织开始自动化审批、审查以及职责分离流程,而多数机构甚至并未真正认真讨论这种取舍本身。
审视固有体系,优化安全管控
这些前提的失效,并不是源于某个人的决策失误,而在于从未有人被明确要求去重新审视这些默认假设。
因此,问题的关键已经不再是出台更多监管机构或技术命令,而是必须展开一次针对“默认前提”的系统性审计。哪些威胁模型是否仍然默认高能力网络行动者十分稀缺?哪些身份体系是否仍然默认交互对象一定是人类?又有哪些环节长期依赖人类经验作为隐性的结构性支撑,而在全面自动化后,又有什么新的机制能够接替它们?
真正重要的工作,并不是简单增加新的安全控制,而是回归本源重新追问:我们过去默认了什么?这些前提在当下是否依然成立?这种审计最终应形成一份明确的书面记录,由深度参与系统运行的人共同完成。例如,部分企业可能会发现,其关键变更审批流程其实早在两年前就已自动化,但整个过程中从未就此进行正式治理决策;某个联邦机构也可能会发现,在所谓“持续授权”试点下,原本被默认存在的安全审查,如今只剩下一块无人查看的监控仪表盘。
在私营部门,这种审计其实已有制度承载空间——那就是董事会下属的风险委员会,因为它本就承担企业结构性风险的最终责任。审计成果应十分具体:形成一份关于当前AI部署所依赖安全假设的正式登记文件,并进行年度更新。一旦某项前提被证明已经失效,就必须立即修订。事实上,那些曾开展“后量子时代安全评估”的公司,已经拥有类似模板,如今这一方法需要被更广泛地应用。
而在政府层面,美国国家网络主任办公室(ONCD)则应承担这一任务。ONCD本身的法定职责就是协调联邦网络安全事务,而这恰恰意味着,它最适合从整体视角识别那些已经失效的制度假设。一个合理的初步目标是:在六个月内,与网络安全与基础设施安全局(CISA)以及各行业风险管理机构合作,完成一份关于联邦民用系统与关键基础设施安全假设的全面清单。这并不是建立新的框架,而是一次针对旧框架的系统性盘点。只有完成这一盘点,人们才能真正判断:哪些领域可以放心部署AI,哪些领域则必须重新审视其底层逻辑。
自我审视是核心战略优势
中国正在迅速将AI嵌入其安全与治理体系之中,从自动化审查机制到AI辅助刑事量刑,都在快速推进,同时中国还在向海外出口相关治理基础设施。相比之下,美国真正的优势,并不在于其制度天然更稳固,而在于它的制度仍然具备“自我审视”的能力。开放体系能够主动检查自身缺陷,而封闭体系在结构上往往难以做到这一点。如果这种能力能在下一次重大安全事件发生之前被真正运用,它本身就会成为一种重要的战略资产。
归根到底,这些问题本质上属于治理问题,而不是单纯的合规问题。美国的确仍然拥有现实优势,例如模型能力、盟友协同以及庞大的防御者社区,但这些优势同样建立在许多过去合理、却长期未被重新检验的前提之上。未来,人们很可能会把这种审视视为一种“额外负担”,认为它妨碍了真正的AI部署与竞争。
只有先夯实地基,才有可能真正放心地扩大AI体系规模。没有人会等到暴风雨来临后,才去修补墙体上的“裂缝”;真正重要的工作,是在风暴到来之前,就先把“裂缝”找出来。