360：AI安全已过秀能力阶段，AI安全怎么做？6月23日消息，近日，360 AI安全研究院发布《AI漏洞挖掘进入真实系统竞争阶段：从“大模型能力涌现”到“智能体工程实战”》研究报告。报告认为，AI驱动的漏洞挖掘正在从模型能力展示，进入真实系统、真实生态、真实攻击链中的工程化验证阶段。未来AI安全竞争的关键，不只是模型能否发现候选漏洞，而是能否在真实系统中完成发现、解释、验证、修复和阻断。首先，过去几年，大模型能力的快速迭代让行业陷入了一种对“模型涌现”的盲目崇拜，仿佛只要参数足够大、推理能力足够强，安全漏洞就能被自动识别。然而，现实商业环境并不为实验室里的跑分买单。随着AI从单纯的对话工具演变为具备自主决策能力的智能体，其带来的风险已不再是单点缺陷，而是沿着工具调用、权限边界和数据流转不断传导的系统性隐患。真正的检验标准，必然要回归到真实系统的攻防博弈中。谁能把漏洞的发现、验证、归因与修复真正嵌入到业务闭环里，谁才能掌握下一代网络安全的主动权。其次，单纯依赖大模型的泛化能力去挖掘漏洞，虽然覆盖面广，但往往缺乏对复杂业务场景的深刻理解。相比之下，将安全专家的经验、历史攻防数据以及自动化验证流程沉淀为安全智能体，才是更贴近实战的解法。这种工程化路线的核心在于，它不再把AI当成一个黑盒去猜测，而是将其作为安全运营专家的数字替身。面对智能体生态中极易发生的“多米诺骨牌效应”，即上游框架的微小漏洞被下游应用层层放大，唯有依靠具备完整流程闭环能力的智能体系统，才能在真实攻击链中实现风险的有效阻断。第三，当漏洞武器化的时间窗口被AI压缩到以小时甚至分钟计，传统的“人盯系统”模式已经彻底失效。未来的安全竞争，将从单点的模型能力比拼，走向涵盖模型、专家经验、攻防数据和治理流程的系统级对抗。这意味着，发现漏洞仅仅是起点，推动漏洞进入实质性的治理流程才是能力落地的标志。AI安全已经过了单纯“秀肌肉”的阶段，接下来的较量，是谁能建立起自主可控的体系，在真实的办公、开发和运维场景中，把不确定性转化为可管理的工程能力，而当前360无疑已经走出了0到1的第一步。