图片来源： a16z Z Highlights 2025 年初，一份匿名文件在网上流传。里面列出了 100 多个此前未知的 Microsoft Access 和 365 漏洞，内容包括技术验证、堆栈追踪、利用链分析，细致 详尽。 信息源来自一个自称 "Unpatched AI" 的工具，没有团队、没有公司，只有这些发现。 一开始，安全圈对这件事有些迷惑。漏洞都是真实存在的，分析报告极其专业，显然用了自动化工具。但从覆盖面、利用链的复杂度和准确率来看，这远 远超出了普通扫描器或脚本的水平。 公开信息显示，这背后是一个自主的、由大语言模型（ LLM ）驱动的漏洞研究管道，融合了现代模糊测试、符号执 行和生成式 AI 来完成报告撰写。虽然背后团队身份依然未知，但这种工具的潜力已经显现 —— 它们有可能彻底改变网络攻防格局。 这也带来了一个令人不安的问题： 当最厉害的 " 渗透测试员 " 不再是人类，会发生什么？ 现在，这已经不是假设。自主系统正在进军攻防安全领域，有些场合甚至已超越了人类研究员。它们开始在公开漏洞悬赏排行榜上崭露头角，可以大规模 自动挖掘漏洞，无需人工指导就能规划复杂的攻击路径。 这标志着攻防安全领 ...