总体来看,2026年度网络安全行业将重点在人工智能安全、数据安全、网络安全、重要场景等赛道集中发力。在人工智能安全方面,AI系统安全、内容安全、运营安全和智能体安全等将呈现多点开花;在数据安全方面,可信数据空间的推进体系化引领数据安全发展;在网络安全方面,攻防智能化、威胁情报体系智能化、代理型僵尸网络等将见证安全理念的持续转型;在重大场景安全方面,低空经济等新兴市场将牵引安全行业风向。
AI攻防
从智能军备竞赛到APT全链路智能化对抗,网络攻防正加速演变为以智能体为核心的新型对抗格局。预计到2026年,APT组织将率先实现全链路智能化作战能力的实战落地。
到2026年,随着生成式AI与自主智能体全面渗透网络攻防体系,网络空间正进入“智能对抗智能”的军备竞赛阶段。网络攻防形态已不再是“人对系统”或单纯的自动化工具对抗,而是由具备自主感知、推理与执行能力的智能体主导的竞争。这标志着网络安全进入以算法能力、数据理解与自主决策效率为核心的新一轮竞争周期,攻防博弈的重心已从规则与工具之争转向智能能力体系之间的全面对抗。
在此背景下,APT组织成为AI攻防变革的先行实践者。自2025年以来,APT组织已系统性将生成式AI与大语言模型(LLM)融入整个攻击链条,从侦察、资源开发、初始访问、数据收集到命令控制(C2),实现全链路智能化作战能力的落地。其技术路径主要呈现两条:一是使用不受安全约束的定制恶意模型(如WormGPT、Hexstrike-Al、KawaiiGPT)生成攻击代码、钓鱼诱饵和欺诈内容;二是采用提示词工程、角色扮演等方式诱导主流模型绕过安全机制,间接获取攻击能力。这两条路径互为补充,使APT攻击在效率、规模与持续性上获得系统性放大,显著提升攻击链条的整体智能化水平。
面对高度智能化与全链路自动化的攻击态势,传统静态规则、防火墙及基于特征的检测已难以有效应对。防御体系必须完成从“自动化防御”向智能化、主动化与动态化的系统性跃迁。通过算法、数据与实时决策能力,系统可对攻击链条进行预测、模拟与干预,形成完整攻防闭环。AI驱动的检测、响应与策略决策体系协同运作,使防御能力能够匹配APT攻击的速度、复杂度与适应性。
在这一体系中,智能化对抗性暴露面验证(AEV)必须与AI深度融合,将传统静态验证工具升级为面向真实威胁环境的动态对抗能力,融入感知、推理与决策功能,并与检测、响应及策略体系协同演进,共同构建支撑智能防御决策的综合生态。
代理型僵尸网络
2026年,代理型僵尸网络的激增将导致传统的IOC可靠性面临大规模失效的风险。僵尸网络的对抗史,本质上是一部围绕命令与控制核心隐匿与发现的攻防史。传统架构如同一个“中心辐射”模型,僵尸主机直接连接至一个或数个明确的C&C服务器。这种模式的弱点清晰可见:防御者一旦通过流量分析或样本逆向定位到核心服务器,便能实施“斩首行动”,瘫痪整个网络。然而,近年以来,攻击者逐步完成一些关键的战术跃迁,推动僵尸网络向“代理型”架构演进。其核心设计哲学是将攻击者的身份与行踪,彻底溶解在一个庞大、合法且动态的中间层中。
- 代理型僵尸网络急剧发展,充当隐匿基础设施
绿盟科技伏影实验室监测数据显示,近年来代理型僵尸网络呈现逐步增多的趋势。此类恶意家族可进一步分为两种主要类型:早期出现的代理型僵尸网络家族,其核心功能以实施DDoS攻击为主,内置的代理模块主要用于隐藏自身的C&C基础设施。而自2025年以来,纯代理型僵尸网络开始日益凸显,其功能高度聚焦于流量转发,在网络中充当路由中转节点。这一趋势表明,攻击者的目标已不再局限于隐蔽自身的C&C基础设施,而是逐步转向扮演网络流量中转的底层基础设施构建者,为其他恶意软件提供流量隐匿的基础服务。
- 深层隐匿,威胁情报体系面临溯源危机
代理型僵尸网络的兴起标志着僵尸网络架构正从易于追踪的中心化模式,向多层、动态的代理转发模式系统性演进。这种架构的根本性变革,旨在将真实的命令与控制服务器深藏于由海量被劫持设备构成的“代理迷雾”之后,导致传统的基于静态指标(IoC)的威胁情报在溯源、阻断和归因层面面临近乎失效的严峻挑战,迫使网络安全防御思维必须从“封锁节点”转向“洞察链路”。
这类代理型僵尸网络的崛起,标志着一场不对称战争的升级。防御方不能再依赖“发现-标记-阻断”的静态、反应式剧本。攻击者通过精妙的架构设计,成功地将自己隐藏在由受害者和商业基础设施构成的“合法迷雾”之中,倒逼安全社区必须从追踪孤立的“恶意资产”,转向理解复杂的“行为关系”与“动态威胁图谱”。
僵尸网络乃至整个网络犯罪基础设施的发展方向正在进行一次深刻的变革:从追求直接破坏,转向构建深度的隐匿能力和基础服务能力。这场由攻击者发起的架构革命,正使基于“黑名单”和“指纹库”的传统防御逻辑逐步失灵。代理型僵尸网络的兴起,标志着网络攻防进入一个更复杂的“中间层战争时代”。胜利将不再属于拥有最长IoC清单的一方,而属于能最先从纷繁复杂的网络流量中,识别出那条若隐若现的“代理链路”并理解其恶意意图的一方。这要求整个行业在技术、数据和协同方式上,进行一场深刻的范式转移。
AI自身安全
AI行业进入“下半场”,技术范式从基础模型到文本交互,再向多模态与自主智能体跨越,安全风险上移至系统行为与决策层面。未来,构建贯穿全链路的AI安全围栏将成为守护AI自身安全的首席安全屏障。
当前,人工智能技术正处于从“对话辅助”迈向“自主决策”的关键跃迁阶段。基于大语言模型(LLM)的AI应用已经突破基础指令问答的范畴,进化为具备复杂认知推理、战略决策能力及环境感知力的“数字智能体”。这一技术范式的革新,主要由上下文工程及多工具协同技术的成熟所驱动。在此驱动下,智能体正深度嵌入金融、医疗、能源等核心领域,持续推动生产模式的系统性变革。据最新预测表明,这一趋势将加速规模化:到2028年,企业软件中整合自主型AI的比例将从2024年的不足1%跃迁至33%,届时超过15%的日常工作决策将交由AI智能体自主完成。
然而,随着智能体被赋予API联动、外部系统操作及自主任务规划等高级权限,技术能力的跃升也导致了威胁面的同步扩张与质变。安全对抗的焦点正从传统的“内容生成层面”迅速向“系统行为和决策层面”转移。与早期攻击者仅通过“语义诱导”促使模型生成违规内容的提示词越狱(Jailbreaking)不同,2026年的安全态势呈现出更为严峻的态势:攻击者已将越狱视为突破防御边界的跳板,其核心目标升级为通过滥用智能体的工具权限,实现对底层应用漏洞的精准利用。
自2025年以来,AI安全事件呈现新形态、高频率的爆发趋势。2025年5月,GitHub MCP跨仓库的数据泄露漏洞,攻击者通过劫持开发者本地AI Agent,窃取私有仓库源代码、密钥等敏感数据;2025年7月,恶意MCP Server出现,针对大模型IDE Cursor的安全攻击事件造成攻击者可随意篡改和窃取代码、凭证、操纵Cursor等;2025年8月,AI浏览器Comet曝出提示词注入漏洞,攻击者在用户无感知的情况下盗取账号;2025年11月,攻击者利用AI辅助生成攻击脚本,导致全球23万台暴露公网的Ray AI计算集群被攻陷。
这些事件共同表明,安全对抗已从传统的软件漏洞攻防,升级至多模态环境交互与自主智能体决策层面的系统性攻防。
未来,攻击者的矛头将从人类员工转向拥有关键API调用权、数据访问权及系统特权的智能体。 一旦通过提示词注入或工具滥用等手段成功“策反”,这些原本被视为助手的智能体瞬间转化为攻击者可远程操控的“恶意内部员工”,直接执行数据窃取或破坏任务。这种从“模型说什么”到“模型做什么”的风险跨越,正对企业核心资产的机密性、完整性与可用性构成前所未有的直接威胁。
这一威胁面与风险等级的同步质变,迫使AI自身安全治理必须突破传统的内容防御边界,推动风险评估与防御体系的深度协同,加速向以智能体行为管控为核心的新一代全链路治理体系进阶,AI安全围栏将成为未来AI自身安全的第一道安全防线。
AI安全运营
安全运营是大模型AI技术应用最为成熟的领域之一。传统SOC主要依赖预设的静态规则和脚本匹配威胁,往往伴随着海量无效告警与漏报风险;而 ASOC则引入了具备认知能力的AI智能体,能够像人类专家一样理解攻击意图、进行逻辑推理,并覆盖从告警降噪、事件分诊、研判分析、应急处置到复盘评估的安全运营全流程。
在当前的技术落地实践中,行业主流采取“大小模型协同”的策略来赋能上述全流程,即针对海量日志的初步过滤等高频简单任务,使用轻量级小模型快速处理,而针对复杂的攻击链分析与溯源,则调用千亿级参数的大模型进行深度推理。绿盟科技作为行业的先行者,在其风云卫AI安全平台中率先实践了“DeepSeek通用大模型+千亿级Token训练的安全垂域大模型”的双基座模式,这一架构巧妙地结合了DeepSeek强大的通用语言理解能力与绿盟垂域模型专业的安全攻防逻辑:向下通过检索增强生成(RAG)技术集成安全知识图谱与本地威胁情报,构建开放式数据理解能力;向上则基于AI Agent融合多类小模型,在事件分析响应环节以剧本库形式实现攻陷事件的主动验证与攻击链自动化推理。这种架构不仅大幅提升了单日十亿级日志的感知能力,更在百万级网络攻击拦截中展现了高效能,代表了当前ASOC落地的成熟形态。
从技术价值来看,AI通过自动化、流程化手段辅助安全专家缓解人力负荷,同时攻克部分数据体量、响应时效、关联复杂度均超出人类处理极限的任务,例如海量异构数据的实时关联分析与攻击主动识别、跨场景攻击特征动态适配等。然而,尽管AI在降本增效方面展现了巨大潜力,但截至2025年,在面临高对抗与高风险的实际运营场景中,AI依旧面临着未被彻底解决的信任难题。据ISACA(国际信息系统审计协会)2025年发布的行业调研数据显示,超过60%的受访企业表示对AI生成的安全建议“不敢直接执行”,必须进行人工复核。这种信任危机的根源主要集中在模型幻觉与泛化能力不足两方面。在涉及运维与攻击混淆的复杂场景中,AI极易出现误判,例如运维人员在夜间使用的批量配置脚本常被AI错误识别为“黑客横向移动”。这类由模型幻觉导致的误报需安全专家逐一核验,同时补充运维操作时间窗口白名单、脚本签名校验等兜底机制。正是由于AI输出结果的不可完全信任,安全专家需对AI结论二次审核,导致AI仅能作为辅助工具,无法真正减轻核心安全运营专家的工作负担。基于上述挑战,2026年的安全运营趋势将发生根本性转折,将从AI全面赋能转向可信任AI框架下的风险可控赋能。这一发展趋势是建立在严格的量化标准与实证研究基础之上,该框架的核心逻辑是:分离模型中完全可信的模块,对不完全可信的部分实施严格审计,并构建解释与迭代机制,解释机制助力快速定位AI判断偏差的根源,迭代机制则支撑模型快速优化,持续拓展AI的可信边界。这种涉及模型检测、可解释性、整体迭代的架构在机器学习与深度学习时代就在工业界得到了验证。
智能体安全应用
2025年行业逐步认清大模型的不确定性,但智能体价值凸显;2026年可信任场景智能体将全面爆发,成为安全产品的基础单元。
2024-2025年期间,全球网络安全产业全面启动了基于大模型的智能体探索,并逐渐形成了对其能力边界与应用价值的更清晰认知。各大厂商在将AI引入安全产品体系时普遍采取审慎姿态,更多以具备辅助分析和结构化任务支持能力的“安全副驾”形态嵌入现有流程,而非完全依赖智能体自治执行。该模式下,AI侧重处理高通量、低价值的结构化任务(如日志预处理、代码翻译),决策权则严格保留在人类分析师手中。微软于2024年发布 Copilot for Security,将其深度集成至 Defender、Sentinel等核心安全产品,用于自然语言告警分析、剧本生成和事件调查等常见安全辅助工作,并且在随后的迭代中,微软推出了面向SOC的专用智能体能力,但依然强调必须保持人工审核与操作边界,通过purpose-built agents在受控范围内自动执行例行任务,以确保分析链路的稳定性与可解释性。根据微软发布的《Microsoft Security Copilot Randomized Controlled Trial》,新手分析师在使用 Copilot辅助时,任务准确率提升了44%;资深专家提升了35%,证明了该模式的杰出效果。而Google在同一时期提出“Agentic AI in Security Operations”方向,将 Gemini模型能力嵌入安全运营产品体系,支持告警归并、配置核查和调查路径生成等多种辅助工作,并且其在RSA Conference 2025表示,安全智能体可在结构化场景中承担自主任务规划工作的前提是具备完善的guardrails、权限分级和 analyst-in-the-loop机制,比如不会直接操作数据库删除数据,而是生成查询代码约束在查询层面。数据证明,副驾角色解决了安全查询语言难写难记的痛点,让人类分析师仅需审核逻辑即可执行,使得威胁搜寻(Threat Hunting)和调查的速度提升了7倍。这些实践共同表明,行业已形成稳定共识:智能体具备应用潜力,但必须在工程化约束下运行。
与此同时,在将智能体视作“安全副驾驶”的基础上,头部安全厂商的产品演进进一步验证了智能体在场景化业务中的可行性。场景化业务是指智能体被深度封装进如终端检测与响应(EDR)告警研判、钓鱼邮件自动化闭环或云资产配置合规审计等具体的垂直工作流中,其在特定边界内具备了独立完成从数据聚合、上下文推理到战术处置这一端到端闭环的能力,而非单纯的辅助人类专家。具体如 CrowdStrike在2025年延展出的 Charlotte Agentic SOAR,则首次将“mission-ready agents”与传统 SOAR工作流结合,在明确任务边界与工具权限的前提下,让智能体承担高度重复且结构清晰的调查与编排动作,形成“规则驱动+Agent推理”的混合模式,使其在实际客户环境中稳定运行,其通过自动处置低风险告警和误报,平均每周为每个客户节省了40+小时的人工分析时间。与厂商趋势同步,研究社区对智能体能力的边界也进行了系统性验证。2024年发布的Reaper AI展示了基于GPT-4的自主渗透测试智能体,能够在受控测试环境中完成漏洞扫描、路径规划与利用链构建。GPT-4 Agent在获得CVE描述的情况下对“一日漏洞(1-day)”的利用成功率可达87%,但在缺乏RAG知识注入或面对非标准化环境时,极易陷入死循环或执行无效指令。2025年的ARTEMIS研究在企业真实环境中对比人类专家与AI Agent的表现,结果显示智能体在重复性任务、告警初筛和信息归纳方面具备显著效率优势,在一个包含约8,000台主机的真实大学网络环境中,ARTEMIS智能体系统在综合排名中位列第2名,但在复杂战术、横向关联与多阶段攻击推理上仍难以替代专业分析师,ARTEMIS的误报率(False Positive Rate)在18%到 43%之间,显著高于人类专家。这些学术研究证明了当前智能体在场景化业务具有替代人类专家的巨大潜能的同时,需要通过更明确的状态管理、决策审计与安全边界控制来确保整体可靠性。
AI内容安全与伪造识别
2025年深度合成能力全面突破,伪造内容的生成门槛持续降低;2026年“AI检测AI”的防范范式将成为核心安全能力,深度伪造识别与内容取证需求加速增长。
2025年8月,某社交平台博主利用AI仿冒奥运冠军全红婵的语音卖土鸡蛋,孙颖莎、王楚钦等运动员的声音也被“复制”进行直播带货。这并非个例,演员温峥嵘曾表示遭遇了直播间AI换脸冒充事件;上海公安网安部门在3月份侦破网络上传播的一起“华山医院前院长张明远因阑尾炎未得到及时救治客死他乡”AI造谣事件。此类事件的频发,凸显了AI深度合成技术被滥用的严峻问题。
2025年,大语言模型与扩散模型得到了前所未有的广泛应用,深度合成技术实现了从“专家工具”到“普及化武器”的全面突破,深度合成技术的壁垒以极快的速度消融,这意味着制作高度逼真的伪造内容无需专业的算法知识,仅需简单的指令和低廉的成本即可实现。深度合成能力的迭代和广泛应用一方面丰富了数字内容创作的维度,另一方面也使得伪造门槛持续下降,呈现出“低门槛+高逼真”的特征,正在引发一场波及社会治理、经济安全与个人权益的“真实性危机”。
Fortinet发布的《2026年度CISO预测报告》指出,OpenAI DALL-E、Sora等AI服务使得制作高度逼真的伪造音视频内容几乎没有技术门槛,2026年深度伪造攻击将规模化滥用,基于深度伪造的钓鱼攻击、声纹伪造及影像伪造实施的欺诈事件将会造成企业经济损失呈现“指数级增长”。
2026年深度伪造识别与内容取证的需求将加速增长,背后主要存在两个核心驱动因素:一方面是来自监管机构合规性要求的“硬约束”,另一方面是企业为应对实际业务风险产生的“内驱力”。
云安全
到2026年,随着AI应用加速向云端迁移,新兴开源AI组件的引入及供应链复杂度的提升,将显著增加配置缺陷与漏洞利用的风险。这导致模型参数、模型聊天记录、AI密钥等核心资产面临严重的泄露威胁。因此,精准识别并有效收敛AI资产的互联网暴露面,已成为云上AI数据安全的首要防线。
2025年,随着生成式AI技术的爆发式增长,AI应用开发正经历从“单点模型实验”向“企业级工程化落地”的变革。这一趋势推动了各类AI组件的蓬勃兴起,并加速了技术栈向云端迁移的步伐,以利用云原生架构的弹性与协同优势。
核心业务逻辑在应用层与智能体编排层得以实现:Dify、RAGFlow等应用开发平台结合 n8n、Langfow等可视化编排工具,无缝调用底层模型能力,构建出复杂的业务工作流与智能体应用。而在架构的最前端,AI网关作为关键流量入口,负责安全接入与精准路由,确保云上服务的稳定交互。此外,评估与监控板块贯穿全链路,提供持续的性能监测与效果评估,为整个技术栈的可靠运行提供了保障。
然而,开源AI组件生态背后也面临着新的危机。值得注意的是,随着这些高热度的AI组件被大规模集成并迁移至云端,企业在享受技术红利的同时,也面临着攻击面急剧扩大与数据泄露风险的双重挑战。组件的默认配置不当和公网暴露正成为云上AI安全的新隐患。
数据安全
2025年是可信数据空间的落地元年,政策、标准层面的强力推动是其快速发展的首要动力;企业、行业、城市等广泛试点意味着可信数据空间正走向落地;技术上综合利用密码学、可信硬件和系统安全等手段,使数据要素流通在“外循环”的场景中“安全可控与安全可证”。
可信数据空间是基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施,是数据要素价值共创的应用生态。可信数据空间的主要目标是在确保数据提供方对其数据拥有完全控制权(数据主权)的前提下,打破数据孤岛,实现跨组织、跨行业的数据互联互通和价值挖掘。2025年是我国可信数据空间发展史上具有里程碑意义的一年,我国正式进入了“顶层架构确立+大规模试点启动”的双轨并进期,通过发布国家级技术架构文件和启动覆盖全国的创新试点,拉开了数据基础设施建设的序幕。《可信数据空间技术架构》、《可信数据空间数字合约技术要求》等技术要求接续出台,构建起“基础架构+关键技术”的标准体系。这些标准不仅为技术落地和互联互通提供规范依据,更是保障数据流通安全合规的制度基石。据IDC预测,2025年中国可信数据空间市场规模为30.4亿元人民币。在“数据要素”战略的指引下,如何让数据在不归属权属、不泄露隐私的前提下创造价值,是本年度技术创新的主旋律。
可信度量与远程证明正成为可信数据空间安全证明的重要基石:数据一旦离开用户自有、可控的运行环境,使用方如何向数据提供方证明:数据当前所处的运行环境是可信的、安全策略是被正确实施的,就成为一个关键问题。可信度量对系统从启动到应用加载过程中的关键组件进行完整性度量并安全存证,形成“基准状态”的密码学证据。而远程证明则由远程的验证方对当前系统状态进行核验,并与可信基准进行对比,从而判断运行环境是否可信。二者相辅相成,可以显著增强数据提供方和使用方对运行环境的信心,大幅降低可信数据空间构建过程中的信任门槛与审计成本。与传统依赖专家评审、人工审计报告的“主体信任”相比,可信度量与远程证明将信任建立在可重复验证的技术证据之上,使参与各方能够随时发起校验和复核,从而更多地依靠“技术信任”而非“主体信任”,为数据跨域流转和多方协同计算提供更加坚实的安全基础。
低空经济
以全栈数字化评估重塑准入基线,构建物理安全与数据资产并重的内生免疫新体系。
2025年,低空经济行业经历了从技术验证向规模化应用跨越的加速发展期。从深圳构建的“5G+毫米波+卫星”空天地一体化网络,到张家界“低空+应急救援”场景的常态化运行,低空飞行器作为新型空间基础设施运行的关键运载工具,正推动千行百业的作业模式发生根本性变革。然而,产业繁荣与安全配套相对滞后之间的矛盾,在这一年逐渐显性化,演变为一系列安全风险。如何构建一套可信、可控、可追溯的安全体系,已不再是单纯的合规要求,更是为了预防行业陷入“安全事故频发导致管制全面收紧进而引发市场需求疲软”这一潜在恶性循环的关键破局点。
尽管监管与感知体系已初具雏形,但2025年发生的事件也暴露出行业面临的安全挑战正从物理层面向更隐蔽的系统层面演进,集中体现在“终端违规篡改”与“供应链系统渗透”两大维度。一方面,针对无人机终端的“内部突破”愈发频繁,公安机关已查获多起无人机非法破解案件,不法分子通过篡改飞控系统、伪造解禁证书等手段,擅自突破电子围栏与飞行限制,构建起一条规避监管、非法牟利的灰色产业链。另一方面,更为隐蔽且致命的风险来自供应链上游。2025年发生的俄罗斯无人机定制固件服务商遭黑客攻击事件,为行业敲响了警钟。据安全专家分析,攻击者并未直接接触无人机,而是利用远程命令注入或API接口漏洞攻破了中心化的固件分发服务器,导致数十万架依赖该服务的无人机更新体系瘫痪。这一事件深刻揭示了在低空数字化进程中,依赖极强中心化架构的“服务器-终端”链路极为脆弱,一旦中心节点失守,整个飞行网络将面临断联甚至被远程接管的系统性风险。
此外,随着低空经济商业化闭环的形成,低空安全的重心将在坚守“物理安全”底线的同时,把“数据资产安全”也提升至同等重要的战略高度。各类管理平台的广泛应用,海量的航行数据及身份信息实时汇聚,加之未来eVTOL商业运营产生的乘客生物特征与物流调度指令,这些数据构成了关乎公共安全与国家安全的高价值资产。一旦中心化的运营平台遭到渗透,后果将不仅是服务中断,更是敏感数据的级联泄露。为了应对潜在的平台渗透风险,2026年针对低空运营平台的建设预计将更多地探索“零信任”架构与隐私计算技术的应用。未来行业会推进构建一个安全的数据特区,确保在跨运营商共享航路或跨起降场调度时,数据能够实现“可用不可见”,严防云端数据泄露风险,为低空经济的数字化底座再加装一道防盗门。
展望新的一年,2026年的低空经济安全将是一场关于“内生免疫”与“数智化升级”的深刻变革。安全建设已超越了单纯的合规需求,成为决定低空业务能否实现规模化、商业化可持续运营的核心竞争力。唯有通过严格的数字化评估构建内生免疫能力,并同步扎紧数据安全的篱笆,方能护航低空经济在深水区行稳致远。
原文:2026年绿盟科技安全研究年报—网络安全趋势报告
链接:https://book.yunzhan365.com/tkgd/evsw/mobile/index.html
欢迎在云栈社区交流更多网络安全与前沿技术。
发表于 14 小时前
|
查看: 1|
回复: 0
