多年來，我們一直在聽到同樣的說法：AI將會取代你的工作。事實上，2017年麥肯錫發(fā)布了一份報告《消失與新增的崗位：自動化時代下的勞動力轉型》，預測到2030年，將有3.75億工人需要尋找新工作，否則可能會被AI和自動化取代。這無疑引發(fā)了人們的焦慮。

關于哪些職業(yè)會受到AI沖擊的討論從未停止，而滲透測試（Pentesting）最近也被推到了風口浪尖。隨著AI現(xiàn)在能夠自動化執(zhí)行諸如漏洞掃描和網(wǎng)絡掃描等任務，以及像PlexTrac這樣的平臺正在引入AI功能以減少手動操作，滲透測試師會因此失業(yè)嗎？

讓我們從樂觀的角度開始。今年，麥肯錫撤銷了之前關于3.75億工人將被AI取代的預測，將這一數(shù)字下調(diào)至約9200萬人。報告進一步緩解了擔憂，指出雖然某些工作可能會消失，更可能的情況是崗位會發(fā)生轉型，預計將有1.7億個新角色從變革中涌現(xiàn)。

回到滲透測試領域，可以合理推測，未來幾年滲透測試的某些環(huán)節(jié)將更加自動化，一些相關崗位可能需要轉型。但AI缺少一個讓滲透測試與其它自動化掃描工具區(qū)別開的關鍵要素：人性化因素。正如云安全聯(lián)盟（Cloud Security Alliance）所提到的：“與其取代人類，AI更像是滲透測試師的能力放大器?！?/p>

AI將增強而非取代滲透測試能力

一個常見的誤解是，AI會讓滲透測試師成為歷史?，F(xiàn)實情況則要復雜得多。自動化已經(jīng)開始幫助簡化一些單調(diào)、重復的任務，但人類的創(chuàng)造力和專業(yè)知識仍然是不可替代的。

1. 腳本小子們正在（機器）學習

AI正在改變滲透測試的入門門檻。借助AI驅動的工具，那些技術經(jīng)驗不足的人——通常被稱為“腳本小子”——將能夠執(zhí)行更復雜的測試，而無需深入了解背后的原理。AI通過自動化漏洞掃描、對手模擬和漏洞利用等復雜任務，降低了入門門檻。這種自動化使這些用戶能更容易地發(fā)現(xiàn)并利用系統(tǒng)中的弱點。

盡管滲透測試師可能對腳本小子持負面看法，但AI和自動化的進步對所有人都有利。通過消除低技術含量的任務，測試師們可以將精力投入到更復雜和有價值的任務中，從而提升技能水平，在各自的崗位上更有效、更安全。AI處理繁瑣的基礎工作，讓所有測試師都能專注于學習滲透測試的深層細節(jié)，最終變得更加熟練，并為安全領域做出更多貢獻。

2. 專注于高價值工作：讓AI處理單調(diào)任務

不僅僅是腳本小子，滲透測試師也能從AI中受益。通過利用自動化，滲透測試師可以騰出時間專注于需要更高專業(yè)技能或人工干預的任務。例如，AI可以自動化發(fā)現(xiàn)漏洞，讓滲透測試師集中精力設計獨特的漏洞利用或進行高級的紅隊演練，這些都需要對人類行為和業(yè)務邏輯的深入理解。

以下是AI可以自動化處理的具體任務：

• 推動更深入的研究和開源情報（OSINT）收集
• 掃描目標系統(tǒng)中的常見漏洞和暴露（CVEs）
• 進行基本的網(wǎng)絡掃描并識別潛在的攻擊向量
• 根據(jù)嚴重性和可利用性對發(fā)現(xiàn)的漏洞進行分類和優(yōu)先級排序
• 根據(jù)當前測試環(huán)境的技術棧設計漏洞利用方案
• 根據(jù)之前發(fā)現(xiàn)的漏洞，建議額外的測試案例

通過消除這些重復性任務，AI讓滲透測試師能夠花更多時間探索復雜的漏洞利用、發(fā)現(xiàn)隱藏的缺陷以及跳出固有思維模式——這些技能在可預見的未來仍然是AI無法企及的。

3. 釣魚攻擊和社會工程2.0：AI為模擬攻擊提供更強助力

AI對滲透測試的影響在社會工程領域也顯而易見。這項技術正在推動釣魚攻擊模擬和培訓演練的進步。AI能夠分析大量數(shù)據(jù)，理解人類行為，并設計出更具迷惑性的釣魚攻擊或社會工程場景，使?jié)B透測試師能夠進行更逼真的攻擊模擬。這意味著企業(yè)能更好地應對真實世界中的威脅，因為AI提升了模擬攻擊的真實性。

此外，AI工具還能提供反饋和指導，幫助滲透測試師改進社會工程技術，并從過去的演練中學習，逐步完善他們的能力。

4. AI將加速滲透測試流程：速度與精準并存

AI可以大幅加速滲透測試生命周期的各個階段，例如：

• OSINT和信息收集： AI可以分析組織的技術棧，識別所使用的工具和平臺中的已知漏洞，并比人工更快地提出潛在的攻擊向量。
• 威脅建模： 基于收集到的數(shù)據(jù)，AI可以根據(jù)與收集情報相關的歷史成功率，推薦特定威脅進行模擬。
• 異常檢測： 在處理海量數(shù)據(jù)集時，AI擅長發(fā)現(xiàn)模式并識別異常。它可以標記出可能被數(shù)據(jù)海洋埋沒的異常發(fā)現(xiàn)，讓滲透測試師專注于最關鍵的風險。
• 漏洞利用開發(fā)： AI工具可以幫助滲透測試師生成針對特定技術?；蛳到y(tǒng)的漏洞利用代碼。
• 后滲透階段： AI可以幫助清理滲透測試的痕跡，以更全面的方式移除測試者存在的證據(jù)。它還可以留下虛假線索，迷惑防御者，將調(diào)查引入歧途。
• 滲透測試/攻擊性安全報告： 就像GPT工具能幫助你寫郵件一樣，生成式AI可以加速滲透測試報告的撰寫。領先的滲透測試報告平臺PlexTrac已經(jīng)集成了AI功能，幫助生成漏洞利用發(fā)現(xiàn)、總結數(shù)據(jù)，甚至起草報告的執(zhí)行摘要。當然，你需要確保所使用的平臺能保護你的數(shù)據(jù)安全。PlexTrac自主研發(fā)的AI解決方案采用預訓練模式，系統(tǒng)和底層組件不會隨時間學習或保留用戶提交的內(nèi)容，僅在處理提交和生成響應時使用。

AI在滲透測試中的未來：黑客的最佳助手？

未來的滲透測試很可能將形成AI與人類專業(yè)知識協(xié)同合作的關系。以下是AI在不久的將來如何支持滲透測試師的方式：

• 協(xié)作： AI可以作為滲透測試師的助手，幫助分析發(fā)現(xiàn)、生成報告，甚至根據(jù)過去的經(jīng)驗推薦下一步行動。它可以充當“紅隊助手”，促進團隊成員之間的協(xié)作，并在整個測試過程中提供指導。
• 業(yè)務邏輯和上下文感知： AI還將幫助滲透測試師理解漏洞如何影響業(yè)務。AI不僅能識別技術缺陷，還能提供上下文，說明該缺陷可能導致業(yè)務中斷、數(shù)據(jù)丟失或聲譽受損。這種理解將指導滲透測試師為報告提出更具影響力的建議。
• 代理框架和推理模型： 隨著推理模型的進步，AI能夠提供其做出特定決策背后的邏輯，讓滲透測試師更好地理解其發(fā)現(xiàn)和建議的依據(jù)。這種透明性將改善人類與AI的互動方式，并提升其在滲透測試任務中的有效性。

擁抱你的新滲透測試助手

AI的目的并非取代滲透測試師，而是讓他們的工作更快速、更高效、更有效。掃描漏洞、撰寫報告甚至執(zhí)行基本漏洞利用等瑣碎任務都可以交給自動化，但那些需要創(chuàng)造力、批判性思維和深厚技術知識的任務仍然需要黑客的智慧。

通過將AI視為增強工作的工具，滲透測試師可以將更多時間投入到他們工作中最激動人心且最具挑戰(zhàn)性的部分——黑客攻擊、問題解決和智勝對手。隨著AI的不斷發(fā)展，顯然滲透測試師將獲得更多能力，而不是被取代。事實上，那些擁抱AI的人很可能會在不斷變化的網(wǎng)絡安全領域中更具競爭力。