多年来我们反复听到同样的论调:人工智能将取代人类岗位。事实上,麦肯锡在2017年发布的《就业流失与获得:自动化时代的劳动力转型》报告中预测,到2030年将有3.75亿劳动者需要寻找新工作,否则将面临被AI和自动化取代的风险。焦虑情绪随之蔓延。
关于哪些岗位将受冲击的讨论始终存在,而渗透测试领域近期开始受到关注。随着AI现已能够自动化执行漏洞扫描、网络扫描等任务,以及PlexTrac等平台通过集成AI能力来减少人工操作,渗透测试工程师是否会面临失业?
让我们从积极角度切入。今年麦肯锡撤回先前关于"3.75亿劳动者将被AI取代"的预测,将数字下调至约9,200万。该机构进一步缓解公众焦虑,指出虽然某些岗位可能消失,但更可能发生的是岗位转型,预计将有1.7亿个新角色从变革中诞生。
回到渗透测试领域,可以合理预测未来数年该职位的某些环节将更易实现自动化,部分相关岗位可能需要转型。但AI始终缺少渗透测试区别于其他自动化扫描工具的关键要素——人性化因素。正如云安全联盟所述:"AI不会取代人类,而是作为渗透测试工程师的效能倍增器。"
01AI将增强而非取代渗透测试能力
一个常见误解是AI将使渗透测试工程师成为历史。实际情况则复杂得多。自动化技术已开始协助优化某些单调重复性任务,但人类的创造力和专业经验仍无可替代。
01
脚本小子正在利用AI
AI正在改变渗透测试的准入门槛。借助AI驱动工具,技术经验较浅的从业者(通常称为脚本小子)无需深入理解底层机制即可执行更复杂的测试。AI通过自动化漏洞扫描、攻击模拟和漏洞利用等复杂任务降低技术门槛。此类自动化使初级用户能更轻松地识别和利用系统弱点。
虽然渗透测试工程师可能对脚本小子持负面看法,但AI和自动化的进步将使所有人受益。自动化处理基础性工作后,各层次测试人员都能参与更复杂、更有价值的任务,提升技能水平并增强岗位安全性。当AI处理繁琐基础工作后,所有测试人员都能专注学习渗透测试的深层逻辑,最终提升专业能力并为安全生态做出更大贡献。
02
聚焦高价值工作:让AI处理单调任务
受益于AI的不仅是脚本小子,专业渗透测试工程师同样能获得提升。通过利用自动化技术,工程师得以专注于需要高阶专业技能或人工干预的任务。例如,AI可自动化漏洞发现过程,使工程师能集中精力开发定制化攻击载荷,或开展需要深刻理解人类行为模式和业务逻辑的高级红队演练。
AI可自动化的具体任务包括:·
-
深度研究和开源情报(OSINT)搜集
-
目标系统中常见漏洞与暴露(CVE)扫描
-
执行基础网络扫描并识别潜在攻击向量
-
基于严重性和可利用性对漏洞进行分类分级
-
根据当前项目的技术栈定制漏洞利用代码
-
基于已发现漏洞提出新增测试用例建议
通过消除这些重复性任务,AI使渗透测试工程师能够投入更多时间探索高级漏洞利用技术、发现隐蔽缺陷并突破思维定式——这些技能在未来相当长时间内仍将超越AI的能力边界。
03
络钓鱼与社会工程学2.0:AI驱动的仿真升级
AI对渗透测试的影响在社会工程学领域同样显著。该技术正在革新钓鱼攻击仿真与培训演练。AI通过分析海量数据、理解人类行为模式、生成更具欺骗性的钓鱼攻击或社会工程场景,使渗透测试能够实施更逼真的攻击模拟。这意味着企业可以为真实威胁做好更充分准备,因为AI增强了模拟攻击的真实性。
此外,AI工具可提供反馈与指导,帮助渗透测试工程师优化社会工程技术,通过历史演练积累经验,持续提升专业技能。
04
AI将加速渗透测试进程:速度与精度并行
AI能大幅加速渗透测试生命周期各阶段(甚至所有阶段)的进程,例如:
-
OSINT与信息收集:AI可分析企业技术栈,识别在用工具和平台的已知漏洞,其效率远超人工研究。
-
威胁建模:基于采集数据,AI可推荐与情报关联度最高、成功率最优的攻击路径。
-
异常检测:在处理海量数据集时,AI擅长发现模式并识别异常值,能从数据海洋中标记关键漏洞。
-
漏洞利用开发:AI工具可协助生成针对特定技术栈的漏洞利用代码。
-
后渗透阶段:AI能更彻底地清除渗透痕迹,并设置虚假线索误导防御方调查。
-
渗透测试报告:生成式AI可加速报告编写。领先的渗透测试报告平台PlexTrac集成AI功能,可自动生成漏洞发现、数据摘要甚至执行摘要。需注意选择具备数据安全保障的平台,例如PlexTrac自研AI解决方案采用预训练模式,系统不会保留用户提交数据。
02渗透测试中AI的未来定位:黑客的最佳拍档?
渗透测试的未来将呈现AI与人类专家的协同共生关系。AI在以下方面将成为渗透测试工程师的得力助手:
1.协作支持:作为"红队智能助手",AI可协助分析发现、生成报告,并根据历史数据推荐后续行动。2.业务逻辑与情境感知:AI不仅识别技术漏洞,更能分析漏洞可能导致的业务中断、数据泄露或声誉损失,助力输出更具影响力的建议。3.自主框架与推理模型:随着推理模型的进步,AI可解释其决策逻辑,帮助工程师理解结论背后的推理过程,这种透明度将提升人机协作效率。
通过这种深度协同,渗透测试工程师将突破传统能力边界,在AI的赋能下实现对复杂安全威胁的更高效识别与防御。
浙公网安备 33010502006954号 
