AI 把写攻击代码的门槛打下来了,天天授权 agent 改代码的我慌不慌

cover

哈喽,我是飞飞。

这周有两条新闻撞在了一起。一条是 6 月 22 日,五眼联盟(美英加澳新)那五家平时各管各的网络安全机构,罕见地一起发了份联合警告,说即将到来的几个 AI 模型,会在几个月内把”写复杂攻击代码”这件事的门槛压下来,普通用户也会被波及。另一条是 OpenAI 转头就发了个叫 Daybreak 的安全系列,里面有专门帮人找漏洞补漏洞的 Codex Security 和 GPT-5.5-Cyber。

一个说门槛要塌了,一个说我来帮你补。攻击侧和防御侧,同一周一起 AI 化了。

我盯着这两条看了挺久。不是因为我是搞安全的,恰恰相反,我是那种把整套家当押在 AI 工作流上的人:光写文章这条流水线就挂着十几个 skill,一份越喂越厚的 CLAUDE.md,外加一摞 memory,全长在 Claude Code 上。我天天授权它读我的真实代码仓库、改我的代码、跑后台任务。所以”写攻击代码的门槛被打下来”这句话,对我不是一条行业资讯,是一个挺贴脸的问题:当攻击别人这件事也变成一句 prompt 的活儿了,我这种把权限大把交出去的人,到底该不该慌。

五眼这次到底说了啥,先把话核清楚

先把事实摆准,这种安全警告最怕传歪。

据这次报道,五眼联盟的原话核心是一句:时间不是以年计,是以月计(the timeline is not years, it is months)。他们说接下来的前沿模型会超出行业当前的预期,把攻防两端的能力都重塑一遍。

最唬人的一条,是报道里点了两个具体模型的名字:OpenAI 的 GPT-5.5-Cyber、Anthropic 的 Mythos,说这俩会实打实地降低写攻击代码的门槛。这里得多嘴一句,这个点名我是从媒体报道里读到的,五眼那份联合声明本身我没拿到原文逐字核对,所以我把它当”据这次报道”,不当官方原话写死。但这俩模型是真实存在的,Mythos 是 Anthropic 真有的型号,GPT-5.5-Cyber 也是 OpenAI 刚发的,这点没跑。

还有几个数字得标清楚。报道里说印度 2026 年初勒索软件事件涨了 165%,归因到 AI 辅助的定向攻击;亚太地区被超个性化钓鱼诈骗冲得最狠,因为现在用对话模型批量生成”看着像真人写给你一个人”的钓鱼内容,成本几乎为零。这两个数字我也只在这一篇报道里看到,没找到独立的第二个源复核,所以你听个方向就好,别拿去当铁数据引。

至于他们给的建议,说真的特别朴素:个人就是开多因素认证、把那些好几年不用的旧账号删掉;机构就是上自动化防御,部署能盯异常行为、自动隔离入侵的 AI。

门槛塌的到底是哪一道

把这事说穿,五眼这次戳的不是”AI 会写代码了”,这事早就不新鲜,我每天都在让它写。

它戳的是另一道墙:以前”会写一个能跑的漏洞利用代码”,是少数人攒了好多年的本事。你得懂内存布局,懂这个系统这个版本的具体坑在哪,还得有耐心一遍遍调。这道墙把绝大多数想干坏事的人挡在外面,靠的不是他们没坏心,纯粹是他们不会。

现在这道墙正在变矮。当”帮我针对这个版本写一段利用代码”也能像我让 Claude 帮我重构一个模块那样,一句话甩过去就有,挡人的不再是技术,只剩动机了。

更让我后背发凉的是另一半:自动化。报道里说这些 agent 能全天候扫互联网上的漏洞,发现一个就立刻链起一串利用,还能实时绕过你临时加的防御。说人话就是,过去一个漏洞被公开到被大规模利用,中间还有几天到几周的窗口,够你打补丁。现在这个窗口被 AI 压到可能只剩几个小时。

你品一下这个落差。会写攻击代码的人变多了,他们出手的速度还变快了。这两件事叠一块儿,普通人和普通开发者的暴露面,是实打实地变大了。

那 OpenAI 同一周发的 Daybreak,是来救场的吗

光说攻击这一头不公平,防御那边这周也没闲着,不然就成单方面贩卖焦虑了。

OpenAI 这周发的 Daybreak,方向正好反过来:它要把”补漏洞”也 AI 化。里面的 Codex Security 是个插件,直接长在 Codex 里帮你扫代码、找漏洞、给修复建议。按官方说法,这个插件从今年 3 月的研究预览到现在,已经扫了超过三千万次 commit、跨三万多个代码库,人工确认修掉的发现有七万多条。

GPT-5.5-Cyber 是这次的主力模型,官方说它是目前最强的找漏洞补漏洞的模型,在一个叫 CyberGym 的评测上拿到 85.6%,比通用的 GPT-5.5 的 81.8% 高一截。这些数字都是 OpenAI 自己放出来的口径,我没看到独立第三方复测过,你当方向看就行。

关键是它给这个模型划了一条线:只给”可信的防御者”用,得配更强的身份验证、监控和审查。换句话说,OpenAI 自己也清楚这玩意儿是把双刃剑,找漏洞的能力和写漏洞的能力,本来就是同一种能力。它能帮你补,就能帮别人捅。

所以你问 Daybreak 是不是来救场的,我的判断是:它确实在补防御这一头,但救不了那个根本的失衡。防御方要把自家所有系统都用 AI 扫一遍、补一遍,成本巨大;攻击方只要找到你最薄的那一处。一个守全部,一个只攻一点,这道账从来就不对等,AI 只是把双方的速度同时拉满了。

把家当押在 AI 工作流上的我,敞口到底在哪

绕了一圈,回到我自己身上。我这种人,慌的点跟普通用户不太一样。

我每天授权 Claude Code 干的事,往细了拆挺吓人的:它能读我的整个代码仓库,能改文件,能跑命令,CLAUDE.md 和 memory 里还沉着我不少工作习惯和上下文。我图的是效率,七千行的 SpringBoot 往 Kotlin 迁那种活,我一个任务甩给它,它来回改,我省下大把时间。但这份效率的另一面,是我把一大把钥匙挂在了它脖子上。

我的真实敞口,其实不在”模型会不会变坏”。Claude Code 本身我是信的,它该有的权限模式、确认机制都在。我真正睡不踏实的,是这条链路上那些我亲手交出去、又没天天盯着的东西。

举个我刚踩过的真事。我博客整条发布是 GitHub Actions 自动化的,里面挂了个 PERSONAL_TOKEN 负责部署。前阵子这 token 过期了,部署连续静默失败一整天,构建明明是绿的,只有最后一步认证红了,我隔了一天才主动去查才发现。这事跟攻击没关系,但它把一个道理摁我脸上了:没人盯着的时候,问题会悄无声息地堆。我那一摊 API key、本地权限、自动化凭证,平时跑得顺顺当当,根本想不起来去看。现在攻击方有了能全天候扫漏洞的 agent,那我这些没人盯的口子,就是它们最爱的入口。

你说我慌不慌?说实话,没到睡不着的程度。但确实从这周开始,有几件事我打算收紧。一个是把那些躺了很久没动的 token 和 key 挨个翻一遍,过期的、用不上的直接吊销,这事我一直说要做,拖了好几个月。再一个是给我那条自动化流水线补个”失败告警”,不能再让它静默挂一天没人知道。还有就是,以后让 agent 跑碰外网、碰凭证的活,我会比以前多看一眼它到底在干啥,不再图省事一路放行。

所以这事到底该不该慌,我的真心话

把这两条新闻和我自己的处境摆一块儿想完,我反而平静了点。

五眼这次的警告,我觉得不是危言耸听,那个趋势是真的:攻击的门槛在塌,速度在涨,这两件事我信。但它也不是世界末日。OpenAI 那边在补防御,整个行业都在往这个方向使劲,攻防一直就是这么你追我赶过来的,只不过这次双方都换上了 AI 的引擎。

对我这种深度依赖 AI 工作流的人,真正的功课不是要不要继续用,这个我想都没想过要退回去,效率的差距太大了。功课是回过头,认认真真盘一遍:我到底把哪些钥匙交出去了,哪些是我压根忘了还挂在那儿的。模型会不会变强不归我管,但我手里这串钥匙,归我管。

慌没用,盘一遍才有用。

你呢,如果你也天天用 AI agent 改代码、跑任务,你最不放心的是哪一处权限?是挂在 CI 里那些懒得动的 token,还是直接给它的本地命令权限?评论区聊聊。