事情源于近日anthropic 发布 了一款名为claude code security的代码安全扫描与修复建议工具,简单来说就是以前需要专业安全厂商去做的漏洞扫描、代码审计,甚至漏洞修复工作大模型自己就能干了。无独有偶,就在近日社群里面还在疯传一封昆仑万维的内部员工信,公司鼓励全员采买包括claude code等工具账号,并且宣布全员转入ai coding的模式。毫无疑问,代码作为社会系统良性运转最重要的“基础设施”而存在的当下,我们看到当软件行业都在革自己的命、当大模型都在抢安全从业者的饭碗的时候,难怪大家都慌了。
真的这么骇人听闻吗 行业反应是如何的?
“这个事情确实是对行业是影响蛮大的,ai带来的就是全行业的影响,我觉得也该轮到安全了。以前我们所有的知识来自于书本、社群、我们自己积累的知识库,但是这次事件其实导致的结果是未来我觉得大家不需要再去讨论到底ai会不会改变安全行业,我觉得那是确定的,它会改变所有的行业。”安恒信息高级副总裁,首席安全运营官袁明坤向安全419表示。
我们也采访了此次新闻事件冲击最大的“漏洞攻防”和“软件供应链安全”在国内最具代表性的两家企业——边界无限和海云安,相比大家的不淡定他们反而并未显得特别担忧。“实际上cloud code security这个新闻对于我们长期搞攻防的人而言并没没有太多新意,因为我们之前就一直在用类似的一些大模型在做漏洞的挖掘工作,所以这个新闻出没出来大家实际早就都在用了。”边界无限创始人陈佩文表示道,而身在深圳的海云安创始人谢朝海在与安全419交流的时候也表现得较为淡定:“因为我们这几年一直都坚持在这么干,原本我们和客户的目标就是利用ai来自动修复开源组件的漏洞,现在看来已经实现了,所以我们心理上早就准备好接受这个情况了。”
更有乐观的企业,比如在国内最早利用ai赋能的金睛云华——“我们从16年开始讲ai驱动安全,大家都不接受也不相信;到了23年左右的时候大家都认可ai了,我们觉得这下行了;但是到24-25年的时候,客户又不相信ai大模型了,认为大模型理论技术都没问题,就是不落地。所以我们最痛苦的就是客户一直在相信和不相信中反复横跳。现在这个事儿一出,所有人都该认识到大模型这个东西不信不行,必须得信了。”金睛云华副总裁胡文友说道,“客户只要相信大模型,生意就更好做了,再也不用我们费劲去教育市场”。
挑战不用多说 那机会在哪里?
“大模型对于各行业的影响是必然的,出现这样的现象是迟早的事,来得早点晚点的问题。区别在于有的人准备好了,有的人还没准备好。拥抱ai是个必然,顺应潮流不是绝对能成,但是不去做,就只能死。”谢朝海表示道,“对于整个网络安全来说,以后漏洞会越来越少,所以代码审计、渗透测试等等以往的客户需求,肯定会越来越少。但是海云安因为早早地就布局ai,所以现在我们不慌,甚至觉得略有利好,因为在未来大模型安全在国产化的需求将是非常大的,这也是我们近年来重点发展的方向。”
陈佩文表示,在年前就跟tk等业界大牛深度讨论过最后达成了一个一致的观点——因为大模型强大的推理能力,大量的各种类型的漏洞都会逐渐变少,密度大大降低,但是反过来讲ai时代整个世界的代码量也是指数级暴增,虽然密度低了,但是总量还是会上升。这意味着,安全的需求并不会减少。
而在金睛云华看来,业界盛传大模型厂商和互联网大厂抢安全的饭碗这事儿可能并不成立。“网安行业的客户大模型都需要定制化,越大的客户他越需要定制化,因为需要结合客户的业务场景。针对这种需求去为客户贴身服务搞定制化,大模型厂商和互联网大厂都做不到,无论国内国外,这类厂商更喜欢为用户提供标品和saas化的服务,主要覆盖的smb客户。但是越是对安全需求强烈的头部客户,特别是g端的客户是不会接受这样的产品和服务形式的。我相信在国外他们能侵蚀掉传统安全企业的市场份额,但是在国内不太可能。再者,对于安全这块市场而言,蛋糕太小,他们也看不上。“
就目前金睛云华的经验来看,对大模型需求最高也最愿意花钱的头部关基客户,均不是所谓大模型厂商或者互联网大厂能覆盖的,在25年金睛云华就向这类客户交付了三十个左右的大模型产品。除此之外,胡文友还发现因为大模型的普及,公司本身的业务边界反而变大了。“原来因为公司只有产品工程的基因所以只做“防”(威胁检测、安全运营)。现在有了大模型之后,包括渗透测试、漏洞挖掘、代码检测、审计这些也都可以搞了,因为这个是大模型本身具备的能力。”你只需要能把它产品化、功能化,恰好这又是我们团队最擅长的,所以大模型帮助我们把“攻”的能力补齐了。”胡文友介绍道。
而袁明坤也表示,大模型能够办到的事情也是有限的。未来的代码量可能会比今天10倍百倍的增长,用以往传统的产品和办法来实现漏洞扫描、代码审计等工作一定是不行的,类似cloud code security的新形态产品出现可以很好地改变这个局面。但是包括anthropic的创始人也都说,他们只能去做他们擅长的领域的东西,也就是代码。所以他们在做大模型的基础上同时也把开发安全的事也做了,所以有了cloud code security。然而将代码上架配置到服务器上、再配置到我们的生产环境中等等,每一个层面可能都还需要配套的安全能力,在我们安全行业里边,我们怎么能把这些上下游的环节给做好,这或许是我们未来最大的机会。
ai大模型时代 网安产业将如何演变?
”我们讲用大模型的方式来做代码的安全还需要考虑一个roi(投入产出比)的问题,我们需要要花多少token能把代码写出来,花多少token来保证它的安全。如果在未来代码的产生方式是大量依赖ai生产出来的代码都足够安全了,确实会对网安行业造成很大冲击,但是这是一个需要算经济账的过程,要做得越来越好那也需要巨大的成本。传统安全厂商能力和只是的沉淀并非因为大模型的出现就变得毫无价值。“陈佩文介绍道。
安恒信息也是近年来在ai大模型上压重注的厂商,对于未来的网安产业生态,袁明坤是这样理解的——”我们知道每一个用户在每一个使用场景下都需要什么样的安全能力,而我们的产品和服务未来都应该变成类似于一个垂直领域的被大模型调用的智能体系统。我们积累的这些数据、每一个细分场景下需要用到的agent skills, 这些解决每一个场景问题的属于我们自己的智能体系统,能不能更快速的构建起来?我觉得未来这会是所有的安全产品、安全服务要去演进的一个方向,都必须得变成更加适用ai去调度的这些智能体系统,这是我们一直在做的。“
“我相信在这个方向上,机会会远比之前这些年要更多,因为有更多的复杂的人类可能不理解的、各式各样的系统跑在不同的平台上。网络攻防从来都是对抗升级的,ai带来的新的时代也会带来更多新的安全问题,只要我们能真正的扎根于每一个用户场景,并且有了ai的加持,一个全新的网络安全的生态会产生出来,我觉得这是网络安全产业的真正的第二次革命。”袁明坤表示。
另外,大模型浪潮的来临,对于创业中的安全小厂来说也是利好。安全企业的运营模式亟需转变,以往头部大厂靠人海战术形成的优势不复存在。人越多,包袱就越重,然后人均效率就越低。未来的安全公司一定是人数越少,效率越高,那也意味着他就越能够生存,越能够赚钱。金睛云华就是一个例子,90%以上安全大厂都亏钱的情况下,公司还能够连续四年盈利,甚至在25年现金流转正。”未来的安全企业一定是大量采用大模型的方式,创业的安全企业未必需要上千人的规模,甚至未来百人规模的公司会成为主流,负担轻了,自然才能发展的更好。“胡文友说道。
结语:
趋势之下,一直抱着固有思维必然被淘汰。ai大模型对于网络安全产业的技术发展、业务形态甚至产业格局都将产生深远的影响。就像我们在2025年伊始说的,ai大模型对于网安产业的重塑已成定局。唯有拥抱变化,才是最好的选择。
至于说“网安股集体下跌”之类,也不是大模型进化的该背的锅,吾辈只有不断精进技术,产业才有未来;而说“ai大模型要革网安产业的命”,笔者表示不信,它只会革原地踏步者的命,网络安全产业必将逐渐进化成健康的形态,长期发展下去。
