多年來，我們一直在聽到同樣的說法：AI將會取代你的工作。事實(shí)上，2017年麥肯錫發(fā)布了一份報告《消失與新增的崗位：自動化時代下的勞動力轉(zhuǎn)型》，預(yù)測到2030年，將有3.75億工人需要尋找新工作，否則可能會被AI和自動化取代。這無疑引發(fā)了人們的焦慮。

關(guān)于哪些職業(yè)會受到AI沖擊的討論從未停止，而滲透測試（Pentesting）最近也被推到了風(fēng)口浪尖。隨著AI現(xiàn)在能夠自動化執(zhí)行諸如漏洞掃描和網(wǎng)絡(luò)掃描等任務(wù)，以及像PlexTrac這樣的平臺正在引入AI功能以減少手動操作，滲透測試師會因此失業(yè)嗎？

讓我們從樂觀的角度開始。今年，麥肯錫撤銷了之前關(guān)于3.75億工人將被AI取代的預(yù)測，將這一數(shù)字下調(diào)至約9200萬人。報告進(jìn)一步緩解了擔(dān)憂，指出雖然某些工作可能會消失，更可能的情況是崗位會發(fā)生轉(zhuǎn)型，預(yù)計(jì)將有1.7億個新角色從變革中涌現(xiàn)。

回到滲透測試領(lǐng)域，可以合理推測，未來幾年滲透測試的某些環(huán)節(jié)將更加自動化，一些相關(guān)崗位可能需要轉(zhuǎn)型。但AI缺少一個讓滲透測試與其它自動化掃描工具區(qū)別開的關(guān)鍵要素：人性化因素。正如云安全聯(lián)盟（Cloud Security Alliance）所提到的：“與其取代人類，AI更像是滲透測試師的能力放大器。”

AI將增強(qiáng)而非取代滲透測試能力

一個常見的誤解是，AI會讓滲透測試師成為歷史。現(xiàn)實(shí)情況則要復(fù)雜得多。自動化已經(jīng)開始幫助簡化一些單調(diào)、重復(fù)的任務(wù)，但人類的創(chuàng)造力和專業(yè)知識仍然是不可替代的。

1. 腳本小子們正在（機(jī)器）學(xué)習(xí)

AI正在改變滲透測試的入門門檻。借助AI驅(qū)動的工具，那些技術(shù)經(jīng)驗(yàn)不足的人——通常被稱為“腳本小子”——將能夠執(zhí)行更復(fù)雜的測試，而無需深入了解背后的原理。AI通過自動化漏洞掃描、對手模擬和漏洞利用等復(fù)雜任務(wù)，降低了入門門檻。這種自動化使這些用戶能更容易地發(fā)現(xiàn)并利用系統(tǒng)中的弱點(diǎn)。

盡管滲透測試師可能對腳本小子持負(fù)面看法，但AI和自動化的進(jìn)步對所有人都有利。通過消除低技術(shù)含量的任務(wù)，測試師們可以將精力投入到更復(fù)雜和有價值的任務(wù)中，從而提升技能水平，在各自的崗位上更有效、更安全。AI處理繁瑣的基礎(chǔ)工作，讓所有測試師都能專注于學(xué)習(xí)滲透測試的深層細(xì)節(jié)，最終變得更加熟練，并為安全領(lǐng)域做出更多貢獻(xiàn)。

2. 專注于高價值工作：讓AI處理單調(diào)任務(wù)

不僅僅是腳本小子，滲透測試師也能從AI中受益。通過利用自動化，滲透測試師可以騰出時間專注于需要更高專業(yè)技能或人工干預(yù)的任務(wù)。例如，AI可以自動化發(fā)現(xiàn)漏洞，讓滲透測試師集中精力設(shè)計(jì)獨(dú)特的漏洞利用或進(jìn)行高級的紅隊(duì)演練，這些都需要對人類行為和業(yè)務(wù)邏輯的深入理解。

以下是AI可以自動化處理的具體任務(wù)：

• 推動更深入的研究和開源情報（OSINT）收集
• 掃描目標(biāo)系統(tǒng)中的常見漏洞和暴露（CVEs）
• 進(jìn)行基本的網(wǎng)絡(luò)掃描并識別潛在的攻擊向量
• 根據(jù)嚴(yán)重性和可利用性對發(fā)現(xiàn)的漏洞進(jìn)行分類和優(yōu)先級排序
• 根據(jù)當(dāng)前測試環(huán)境的技術(shù)棧設(shè)計(jì)漏洞利用方案
• 根據(jù)之前發(fā)現(xiàn)的漏洞，建議額外的測試案例

通過消除這些重復(fù)性任務(wù)，AI讓滲透測試師能夠花更多時間探索復(fù)雜的漏洞利用、發(fā)現(xiàn)隱藏的缺陷以及跳出固有思維模式——這些技能在可預(yù)見的未來仍然是AI無法企及的。

3. 釣魚攻擊和社會工程2.0：AI為模擬攻擊提供更強(qiáng)助力

AI對滲透測試的影響在社會工程領(lǐng)域也顯而易見。這項(xiàng)技術(shù)正在推動釣魚攻擊模擬和培訓(xùn)演練的進(jìn)步。AI能夠分析大量數(shù)據(jù)，理解人類行為，并設(shè)計(jì)出更具迷惑性的釣魚攻擊或社會工程場景，使?jié)B透測試師能夠進(jìn)行更逼真的攻擊模擬。這意味著企業(yè)能更好地應(yīng)對真實(shí)世界中的威脅，因?yàn)锳I提升了模擬攻擊的真實(shí)性。

此外，AI工具還能提供反饋和指導(dǎo)，幫助滲透測試師改進(jìn)社會工程技術(shù)，并從過去的演練中學(xué)習(xí)，逐步完善他們的能力。

4. AI將加速滲透測試流程：速度與精準(zhǔn)并存

AI可以大幅加速滲透測試生命周期的各個階段，例如：

• OSINT和信息收集： AI可以分析組織的技術(shù)棧，識別所使用的工具和平臺中的已知漏洞，并比人工更快地提出潛在的攻擊向量。
• 威脅建模： 基于收集到的數(shù)據(jù)，AI可以根據(jù)與收集情報相關(guān)的歷史成功率，推薦特定威脅進(jìn)行模擬。
• 異常檢測： 在處理海量數(shù)據(jù)集時，AI擅長發(fā)現(xiàn)模式并識別異常。它可以標(biāo)記出可能被數(shù)據(jù)海洋埋沒的異常發(fā)現(xiàn)，讓滲透測試師專注于最關(guān)鍵的風(fēng)險。
• 漏洞利用開發(fā)： AI工具可以幫助滲透測試師生成針對特定技術(shù)棧或系統(tǒng)的漏洞利用代碼。
• 后滲透階段： AI可以幫助清理滲透測試的痕跡，以更全面的方式移除測試者存在的證據(jù)。它還可以留下虛假線索，迷惑防御者，將調(diào)查引入歧途。
• 滲透測試/攻擊性安全報告： 就像GPT工具能幫助你寫郵件一樣，生成式AI可以加速滲透測試報告的撰寫。領(lǐng)先的滲透測試報告平臺PlexTrac已經(jīng)集成了AI功能，幫助生成漏洞利用發(fā)現(xiàn)、總結(jié)數(shù)據(jù)，甚至起草報告的執(zhí)行摘要。當(dāng)然，你需要確保所使用的平臺能保護(hù)你的數(shù)據(jù)安全。PlexTrac自主研發(fā)的AI解決方案采用預(yù)訓(xùn)練模式，系統(tǒng)和底層組件不會隨時間學(xué)習(xí)或保留用戶提交的內(nèi)容，僅在處理提交和生成響應(yīng)時使用。

AI在滲透測試中的未來：黑客的最佳助手？

未來的滲透測試很可能將形成AI與人類專業(yè)知識協(xié)同合作的關(guān)系。以下是AI在不久的將來如何支持滲透測試師的方式：

• 協(xié)作： AI可以作為滲透測試師的助手，幫助分析發(fā)現(xiàn)、生成報告，甚至根據(jù)過去的經(jīng)驗(yàn)推薦下一步行動。它可以充當(dāng)“紅隊(duì)助手”，促進(jìn)團(tuán)隊(duì)成員之間的協(xié)作，并在整個測試過程中提供指導(dǎo)。
• 業(yè)務(wù)邏輯和上下文感知： AI還將幫助滲透測試師理解漏洞如何影響業(yè)務(wù)。AI不僅能識別技術(shù)缺陷，還能提供上下文，說明該缺陷可能導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)丟失或聲譽(yù)受損。這種理解將指導(dǎo)滲透測試師為報告提出更具影響力的建議。
• 代理框架和推理模型： 隨著推理模型的進(jìn)步，AI能夠提供其做出特定決策背后的邏輯，讓滲透測試師更好地理解其發(fā)現(xiàn)和建議的依據(jù)。這種透明性將改善人類與AI的互動方式，并提升其在滲透測試任務(wù)中的有效性。

擁抱你的新滲透測試助手

AI的目的并非取代滲透測試師，而是讓他們的工作更快速、更高效、更有效。掃描漏洞、撰寫報告甚至執(zhí)行基本漏洞利用等瑣碎任務(wù)都可以交給自動化，但那些需要創(chuàng)造力、批判性思維和深厚技術(shù)知識的任務(wù)仍然需要黑客的智慧。

通過將AI視為增強(qiáng)工作的工具，滲透測試師可以將更多時間投入到他們工作中最激動人心且最具挑戰(zhàn)性的部分——黑客攻擊、問題解決和智勝對手。隨著AI的不斷發(fā)展，顯然滲透測試師將獲得更多能力，而不是被取代。事實(shí)上，那些擁抱AI的人很可能會在不斷變化的網(wǎng)絡(luò)安全領(lǐng)域中更具競爭力。