对于WEB安全在AI未来如何发展的思考
写在前面:
若你偶然点进这个小小博客,不妨先为我们的不期而遇道一声幸会。
其实今天,是我对 WEB 安全行业的未来感到绝望的一天。而这份绝望,源于一次实战。
一、 绝望的开端:PentestGPT 的一击必杀
一切的起因很简单:为了验证现在的 AI 到底进化到了什么程度,我动手部署了 PentestGPT。
我没有给它喂什么复杂的指令,只是让它去打了一场 CTF(夺旗赛)。我看着它运行,内心原本是平静的,直到——它真的拿到了 Flag。
不是瞎猫碰死耗子,是它真的把流程跑通了。
就在 Flag 弹出的那一刻,我产生了一种巨大的荒谬感和危机感。
如果现在的 AI 已经可以独立完成:理解题目 -> 制定策略 -> 调用工具 -> 获取 Flag。
那么,我们这些传统的 WEB 渗透测试工程师,还剩下什么?
二、 我的暴论:98% 的人将被淘汰
基于刚才的实战体验,在这里,我必须下一个暴论:
按照现在 AI 的发展势头,不需要两年,甚至可能仅需一年,WEB 网络安全行业将迎来一场残酷的清洗。
这不仅仅是“二八定律”,而是更极端的生存法则:
这个行业大概率只有 2% 的人能活下来,剩下 98% 的人将被彻底淘汰。
除非你能稳定输出 0day,否则,这里将不再有你的立足之地。
三、 为什么是现在?当“辅助”变成“全量覆盖”
1. 人的作用正在消失
以前,人的核心价值是决策——决定哪里需要测试,哪里是重点,哪里是浪费精力。
现在,PentestGPT 让我看到了另一种可能:
只要你敢开放全部权限给 AI,让它放手去干,它能测试所有的攻击点。
- 资源碾压: AI 不需要像人一样考虑“精力分配”,只要算力资源给足,它能进行全量覆盖。
- 无死角测试: 上线前让 AI 内部跑几轮全量测试,不需要考虑哪里“大概率没问题”,直接全部测一遍。在这种火力覆盖下,Web 网络安全哪还有活路?
2. 工具的全面适配:Burp Suite MCP
这种趋势不仅体现在 PentestGPT 这种集成工具上,更体现在传统工具的进化上。
比如 Burp 的 MCP (Model Context Protocol)。
AI 现在已经可以通过调用 MCP 来完成 Burp 的一切操作。
- 只需要给它额外加上数据处理模块(甚至小项目都不需要加),它就能跑通流程。
- 当市面上 90% 的工具都适配了 AI 接口,由 AI 统一调用、统一编排时,也就是人工渗透测试终结的时候。
四、 认知的崩塌:“AI 只是辅助”是个谎言
“AI 没法儿替代人,只是辅助人的工具。”
这句话,我从一年前就开始说。但是到今天,看着屏幕上的 Flag,我发现我说不下去了。
因为它真的可以替代人了,是完全替代的那种。
1. 编程能力的门槛归零
之前我们安慰自己,AI 做不了大项目,只能写点玩具代码。
但现在,只要你足够会使用 AI 编程,大项目也能轻松修改。随着门槛进一步降低,这一壁垒将不复存在。
2. 安全岗位的全线失守
WEB 网络安全工程师的核心职责,现在已经被 AI 覆盖:
- ✅ 安全评估与渗透测试
- ✅ 漏洞修复与防护体系搭建
- ✅ 安全监控与应急响应
这一切,现在已经可以做到全量替代。这不仅仅是未来,而是现在进行时。
五、 最后的壁垒:仅剩的“准确度”
目前 AI 唯一的问题是准确度还不够。但遗憾的是,解决这个问题甚至不需要两年。
1. 自动化的最后拼图
每一个细分方向的自动化产品,AI 全自动化的版本都已经有人做出来了。他们现在唯一要做的就是提升准确度。
2. 极易量化的提升路径
网络安全行业与创意行业不同,准确度是非常容易量化的。
- AI 只需要去爬取大量的技术博客;
- 进行思路上的专项训练(Fine-tuning);
- 这种提升速度会非常、非常、非常快。
结语
当那一天来临,也就是一两年后的事情。除了那 2% 掌握核心 0day 挖掘能力的顶尖专家,剩下的我们,或许都将成为时代的注脚。
P.S.
这是一个多么讽刺的闭环:连你正在读的这篇文章,都是 AI 帮我润色并整理成 Markdown 格式的。我把我的绝望和想法拆碎了喂给 AI,它就帮我生成了这篇悼文。
浙公网安备 33010602011771号