过去差不多一年才接到一次的活,现在每周都有。
Austin Cowan在猎头公司Heidrick & Struggles工作,专门帮《财富》100强企业物色网络安全高管。原以为2026年会清闲一些,毕竟整个科技行业都在收缩,结果并非如他所料。最近几个月,他的桌上堆满了找安全高管的委托——那种既懂应对数据泄露、又能审代码的人。
「通常每年才会出现一次的职位,我们现在每周都能看到。」Cowan说。另一家专做安全岗的猎头公司Hitch Partners的合伙人Michael Piacente称,自去年秋天起这类需求增长了五到七倍,公司因此推掉了相当多的委托。《纽约时报》援引Glassdoor数据,2026年第一季度网络安全岗位同比增长11%。
另外一个信号来自OpenAI。它最近在Preparedness安全团队招聘「递归自我改进」方向的研究员,薪酬包29.5万到44.5万美元。严格说,这并非传统网络安全岗位,而是更前沿的AI安全岗位。但它和这波招聘热指向同一件事:模型公司正在为更高等级的AI风险提前储备安全能力。
网络安全为何成了眼下最贵的岗位之一?其实征兆今年4月已经出现。
一周内两家实验室亮出攻击性网络安全模型
2026年4月7日,Anthropic推出了Project Glasswing。
https://www.anthropic.com/project/glasswing
按官方说法,这个项目要「为AI时代守住全世界最关键的软件」。它把还在预览阶段的Claude Mythos提前交给一批合作伙伴做防御性安全工作。
真正让安全圈绷紧神经的,是Anthropic红队随后发布的评估。红队的判断是:Mythos Preview能在真实的开源代码库里,自己发现并利用零日漏洞(zero-day,指尚未被公开、也尚未被修复的漏洞)。
https://red.anthropic.com/2026/mythos-preview/
Anthropic还披露了一个数字:Mythos发现的漏洞里,超过99%尚未修复。
仅仅一周之后,4月14日,OpenAI推出了GPT-5.4-Cyber,一款主打「cyber-permissive」(对合法安全工作降低拒绝门槛)的GPT-5.4微调版本。GPT-5.4-Cyber把重心放在通过Trusted Access for Cyber,向经过验证的防御者开放更高权限的能力。
短短一周之内,两家头部实验室相继把攻击性网络安全能力摆上了桌面。在Anthropic对Mythos Preview的测试与受控部署中,AI已经被证明能发现并利用真实代码库里的零日漏洞。AI攻防正逼近临界点,网络安全岗位的招聘热潮,根源也在这里。
攻防的胜负手从「谁更强」变成「谁更快」
为什么说AI攻防正逼近临界点?最关键的一个转变,是攻防的逻辑变了。
过去的网络安全,面对的是人类黑客。攻方是人,防方也是人,双方拼的是技术、经验和耐心。如今,AI既在加速写代码,也在加速挖漏洞。一种被业内称为「bug-pocalypse(漏洞洪水)」的新现象,正在席卷软件行业。
LinkedIn的首席信息安全官Lea Kissner直言,企业需要有人来收拾这场漏洞洪水,而且未来好几年,业界都摸不透怎样可持续地做AI安全。
5月22日,Anthropic公布了Project Glasswing上线一个月的成绩单,印证了「bug-pocalypse」绝不是玩笑。
https://www.anthropic.com/research/glasswing-initial-update
一个月里,Anthropic和约50家合作伙伴用Mythos Preview,在全球最关键的软件里找出了超过1万个高危或严重级别的漏洞。仅开源这一块,Mythos就扫了1000多个开源项目,标记出6202个高危或严重漏洞候选;其中1752个经六家独立安全公司复核,真阳性率90.6%,1094个被确认为高危或严重级别。Anthropic估算,按现有复核比例,光开源代码里就将浮现接近3900个高危或严重漏洞。
Anthropic在官方博客中表示:软件安全的进展,过去受限于发现新漏洞的速度有多快,现在受限于漏洞被验证、被披露、被修补的速度。
举几个具体案例:
- Cloudflare在自己的关键路径系统里被挖出2000个漏洞,其中400个被定为高危或严重。
- Mozilla用Mythos Preview扫Firefox,一个版本就修了271个漏洞,是此前用Claude Opus 4.6扫出来数量的十二倍以上。
Mozilla在博客《零日漏洞已被数清》中披露,Firefox 150修复了271个由Claude Mythos Preview识别的漏洞。
https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/
- 在一家Glasswing合作银行,一笔150万美元的电汇正被诈骗团伙转走,Mythos Preview实时识别、当场拦下。
- wolfSSL是一个被全球数十亿设备当作根加密库的开源项目。在它身上,Mythos Preview拼出了一条完整的攻击链:攻击者拿着伪造的证书,能做出一个和真的一模一样的银行或邮箱页面,浏览器认不出异常,用户也看不出破绽。漏洞编号CVE-2026-5194,CVSS评分9.1,目前已修复。
英国AI安全研究所(UK AISI)的评估给了一个外部参照:在最新一轮测试里,Mythos Preview成为第一个端到端跑通它两个网络靶场的模型,包括此前从未被任何模型攻克的工控靶场。
过去十几年,安全行业一直在算同一道题:发现新漏洞够不够快。Mythos Preview直接把它换成了另一道题:补漏洞够不够快。而能补漏洞的是人,这场网络安全攻防的胜负手,已经从「谁的技术更强」,变成了「谁的响应更快」。
最能体现这一点的,是模型公司自己的动作。Anthropic的Mythos,OpenAI的GPT-5.4-Cyber,没有一个面向公众放开。在安全策略上,Anthropic走的是「窄门」,只把Mythos交给一批横跨云服务、芯片、金融、网络安全领域的头部企业,先做防御性安全工作。OpenAI采用的是分层,GPT-5.4-Cyber通过Trusted Access for Cyber,向数千名经过验证的个人防御者和数百个团队开放,覆盖二进制逆向工程等场景;但权限最高的版本,依然是有限的、迭代式的发放。
分层也好,验证也好,指向的是同一件事:两家都没有把模型无差别地交给公众。这说明模型公司已经认定,高级AI网络安全能力进入了需要受控开放、需要协同防御的阶段。受限部署并非保守,而是承认临界点确实到了。
企业「防御扩军」,检测工程师岗位领涨
网络安全「攻防大战」引爆了有关职位的招聘热潮。当然,也不是所有的网络安全岗位都整体翻倍。
CyberSeek与Decipher的2026年第一季度数据显示(https://decipheru.com/intelligence/quarterly/q1-2026):美国网络安全岗位从46.1万个增至46.9万个,环比增长2%。总盘子只涨了一点点,但真正的变化是结构性的。同一份数据显示:高级与Staff级岗位环比增长6%,入门与早期岗位却下降了4%。其中Detection Engineer(检测工程师)岗位,环比增长达到11%。
入门岗在降,高级岗在涨。这说明这场网络安全「攻防大战」所带来的是一场结构性筛选:企业要的不是更多安全岗,而是能跟上AI攻防速度的安全岗,比如检测工程师、威胁猎人、应用安全、AI安全等。
安全工程师Brian Gaudenti的经历就是一个很好的例子。他在一家大型科技公司做了十多年威胁检测与调查,去年离职后起初竟然找不到新工作。后来他在作品集里加进了一批AI项目,很快就入职一家AI创业公司,负责组建安全团队。
最贵的守门人
这场围绕网络安全「攻防大战」的人才争夺,价码已经摆出来了。《纽约时报》援引Cowan的说法称,700万到800万美元的安全高管薪酬包正变得更常见。IANS与Artico Search的报告也显示,2025年CISO总薪酬平均上涨6.7%,排名前1%的CISO总薪酬超过320万美元。头部安全高管的溢价正在肉眼可见地增长。为顶尖安全人才付溢价,正在从个例变成共识。
回到开头那个例子:OpenAI为一名「递归自我改进」方向的安全研究员,开出了最高44.5万美元。无论是模型公司还是企业,都在为「跑得更快」付溢价。当AI已经能自己挖漏洞,甚至开始有能力改进自己,「能守住攻防速度的人」就成了最稀缺的资产。能挖漏洞的AI会越来越多,能在窗口期内补上漏洞的人,只会越来越贵。
在云栈社区,你可以与更多安全与AI从业者交流最新动态,共同关注攻防前沿。
参考资料
https://www.nytimes.com/2026/05/24/technology/one-job-that-is-growing-in-the-ai-era-cybersecurity-experts.html
https://www.businessinsider.com/openai-safety-team-ai-self-improvement-challenge-job-2026-5
https://openai.com/careers/researcher-recursive-self-improvement-preparedness-san-francisco/
发表于 2 小时前
|
查看: 3|
回复: 0
