另一场特殊军备竞赛，正在悄然发生

人工智能与人工智能的对抗，其实已经在日常不太关注的领域开始了。

这片战场上没有激光乱飞，没有铁甲钢拳。但基于代码与数据的攻防，更残酷、更隐秘，而且正在一点点改变世界。

（一）

最近，美国那边又搞出了一个新动作。

这次不是芯片制裁，也不是TikTok禁令，而是一个听起来很科幻，也很让人迷惑的词——“玻璃之翼”（Project Glasswing）。

事情的起因，是一家叫Anthropic的美国AI公司，搞出了一个代号Mythos的“超级找茬AI”。它能自动在海量的软件代码里，把藏得极深的漏洞（后门）给揪出来。

很有意思的是，Anthropic搞这套机制的初衷，其实是为了“自查”。因为他们觉得以后AI产出的东西太多、逻辑太复杂，人类根本盯不过来。所以他们本来只是想做一个“AI监督AI”的安全工具，保证自家模型不会胡作非为（比如写出带安全漏洞的危险代码）。结果无心插柳，为了防风险而逼着AI练出来的这套“自我挑刺”能力，反而让它在挖掘漏洞方面降维打击了其他对手。”

但无意间，他们打开了潘多拉的魔盒。他们发现，这个AI模型在挖掘漏洞方面的能力，已经能“超越除最顶尖人类之外的所有人”，速度比人类快了几个数量级。

就在安全行业从业者惊叹科技发展之时，Anthropic却顺势搞出了“玻璃之翼”计划，声称要让漏洞像蝴蝶透明的翅膀一样无所遁形，并迅速拉拢了微软、苹果、谷歌、英伟达等40多家西方科技巨头，搞了一个“安全同盟”。

事情到了这里，就起了微妙的变化。

这个同盟里，没有一家中国企业。这意味着什么？这意味着这帮巨头手里拿着最锋利的AI探雷针，嘴里喊着为了网络安全，心里打的却是“单向透明”的算盘：

过去20年，中国好不容易建立起了强大的网络安全防御体系，抹平了美西方在网络空间的优势。西方精英想像当年工业革命时垄断蒸汽机技术那样，在全自动化的AI时代，垄断“找漏洞”的机器能力。

这种垄断一旦达成，意味着攻击方可以轻易扫描出成百上千个新漏洞。他们的系统排雷了，而被排除在外的国家和企业，系统将瞬间被打成“筛子”，完全不设防。

这是一种单向透明，也是一种极其危险的不对称威胁。

可以说，这样的想法和做法，让“玻璃之翼”，从一个技术进步，演变成地缘政治级别的数字霸权圈地运动。

但是，这个如意算盘，未必能敲得响。

（二）

对此怎么看？简单说粗浅三点：

第一，不用慌，因为在AI安全军备竞赛这张牌桌上，中国不仅没缺席，而且直接亮了剑。

就在“玻璃之翼”企图垄断防御高地时，中国的安全巨头360也抛出了自己的王炸——“漏洞挖掘智能体”。

这套系统一出手，就揪出了微软Windows潜伏了近5年的内核级漏洞，以及Office里藏了8年的最高危漏洞。请注意一个极其关键的细节：这些长期逃过传统安全检测的“老毒物”，甚至是在人类安全专家完全不知晓、没给任何提示的情况下，被智能体“自己”扫描出来的。

360的做法，是将国内顶尖安全专家过去20年积累的攻防样本、战术理解“蒸馏”给了智能体。这证明了中国在AI挖掘漏洞这场竞赛里，不仅能打硬仗，而且具备了不可复制的实战工业级能力。

第二，攻防的逻辑变了，这是“自动化流水线”对“手工作坊”的降维打击。

为什么要抢夺“找漏洞”的能力？这就必须厘清一个残酷的底层逻辑：漏洞，是数字时代最接近“战略武器”的存在，它决定了攻击是否可能发生，以及谁掌握先手权。

这本质上是一把极度危险的双刃剑：挖漏洞的能力有多强，可转化的攻击能力上限就有多高。因为只要你比别人更早发现系统中的关键漏洞，你就等同于握住了一把可以绕开常规防御体系的“隐形钥匙”。

这种能力的价值，并不是抽象的，我们可以从现实世界的漏洞交易市场中窥见一二。

在地下市场上，顶级“0day漏洞”早已被明码标价。尤其是针对主流操作系统的“零点击”高危漏洞，公开报价往往高达数百万美元；而在更隐秘的交易中，由多个漏洞组成、能够实现完整入侵路径的“漏洞利用链”，甚至可能达到千万美元级别。

资本和国家机器愿意为一段代码支付如此高昂的代价，当然不是因为技术炫耀，而是因为这些代码，能够在关键时刻转化为远超其成本的破坏力与控制力。

还记得西北工业大学曾遭到境外黑客极其隐秘的网络攻击吗？按照相关报道，事后溯源发现，幕后黑手就是美国NSA（国家安全局）旗下的特定入侵行动办公室（TAO）。

他们靠什么长驱直入，在我们眼皮子底下窃取核心数据？靠的根本不是什么人海战术，而是手里掌握着别人不知道的漏洞！一个长期未发现的高价值漏洞，往往意味着你花费巨额资金建造的传统防御体系瞬间形同虚设。

以前，黑客挖漏洞，依靠的是极少数天才日复一日地阅读代码，效率低、周期长，属于典型的“手工业”。

但现在，情况已经发生了根本变化。以ChatGPT为代表的生成式AI，让代码生产能力出现了指数级提升，与之相伴的，是漏洞也开始具备“规模化出现”的土壤。与此同时，攻击方不再是“单个黑客”，而是可以调度成千上万个智能体，7×24小时持续扫描、测试和攻击。

节奏，已经从“人类速度”，切换到了“机器速度”。

在这样的体系下，单纯依赖人工的防守方式，正在变得越来越吃力。

但变化并不只发生在攻击一侧。

还好，我们已经拥有了足够出色的“机器体系”。360拿出的，不是单一工具，而是一整套分工明确的智能体架构：既有负责大规模代码扫描、自动发现漏洞的智能体，也有负责验证漏洞、生成修复方案的智能体，还有面向实战场景的自动防御智能体。

这意味着一件关键的事情：

网络安全，开始从“人力密集型”，转向“系统能力型”。

在这套体系下，人类并没有被替代，而是被重新分工，从“亲自处理每一个报警”，转变为“在回路中进行决策与指挥”。

过去，一个安全专家往往会被海量误报和重复性工作消耗精力，而现在，他可以调度一组智能体完成筛查、分析和验证，只在关键节点做出判断。

人的价值，被从“执行”中抽离，重新集中到“决策”。而防守能力，则第一次具备了“规模化复制”的可能。

第三，真正的安全，是“用算力对抗算力”，御敌于国门之外。

面对机器化的攻击体系，360集团创始人周鸿祎提出过一个非常明确的原则——“漏洞不出国”。

这句话的本质，其实是在强调一个前置逻辑——在漏洞被对手利用之前，就必须被自己发现并修补。

在海量代码面前，等待攻击发生再响应，已经不再现实。只有依靠更快的智能体，持续扫描、持续修复，才能把风险消解在发生之前。

也正因为如此，当“玻璃之翼”试图构建一个单向透明的技术体系时，另一种路径正在形成——以自主可控的智能体体系为基础，建立对等的发现能力与防御能力，从而形成制衡。

这不是简单的技术竞争，而是能力结构的对冲。

（三）

安全这件事，很像健康。

平时感觉不到它的存在，但一旦被察觉，往往意味着系统已经出现问题。

在普通人不太关注的数字世界里，攻防对抗从未停止。长期以来，我国一直是高级持续性威胁（APT）组织重点关注的目标区域之一。很多网络攻击，并不是在冲突发生时才启动，而是在更早之前，就已经完成了渗透、潜伏与布局。

也正是在这样的背景下，我们逐渐形成了一套更强调防守韧性的体系。

有一句古话说：“善攻者动于九天之上，善守者藏于九地之下。”在智能体逐渐成为能力倍增器之后，这种攻防关系正在被进一步放大，原本的人与人对抗，正在演变为“系统对系统”的对抗。某种意义上，这确实更接近于从“冷兵器对决”，进入“自动化集群作战”。

在这样的变化之下，防守本身也必须完成进化。

以360为代表的安全能力体系，通过长期积累的数据、样本和攻防经验，将“自动化扫描代码”“成批发现漏洞”变成了一种稳定、可持续输出的能力。这不仅改变了漏洞发现的效率，也延续了我国在网络安全领域二十年来逐步建立起来的防御基础。

（四）

这场发生在代码深处的对抗，没有硝烟，却在重塑未来的安全格局。

对普通人而言，它并不遥远。你的手机是否安全，你的银行账户是否可靠，甚至你所在城市的基础设施是否稳定运行，都与这套体系息息相关。

当有人试图通过技术联盟构建不对称优势时，另一种选择也在同步推进：用自动化的智能体体系，建立属于自己的安全能力。

这场机器与机器的较量，没有人可以置身事外。

它没有退路，也不允许失败。

但至少从现在的能力格局来看，这并不是一场毫无准备的对抗。