大数跨境

安全从业者开始放弃自动化渗透测试?

安全从业者开始放弃自动化渗透测试? 数世咨询
2026-07-07
3
导读:Cobalt发布的《2026渗透测试现状报告》显示,安全从业者正在迅速放弃自主渗透测试工具,
本文关键看点:
1、Cobalt发布的《2026渗透测试现状报告》显示,安全从业者正在迅速放弃自主渗透测试工具,主要原因是他们未能检测到关键漏洞。
2、报告显示,自动化渗透测试在检测AI漏洞时表现很差,"这简直是灾难的配方"。
3、并非所有人都像Cobalt对自动化渗透测试持怀疑态度。亚马逊安全主管Moses表示,AI渗透测试工具使其安全团队效率提高了40%,但Moses并未明确这一数字的衡量标准。
以下正文内容基于英文原文编译,可能存在语义偏差,请以原文为准。

根据攻击性安全公司Cobalt的最新研究,大量误报和漏报已严重侵蚀了业界对自动化AI漏洞测试的信心。

Cobalt《2026渗透测试现状报告》基于2025年和2026年对约450名网络安全专业人员的两次对比调查。

研究发现,完全依赖AI自动化测试的组织比例从29%下降至9%,近一半(47%)的受访者现在更喜欢混合测试模式。

超过四分之三(78%)的受访者表示,完全自动化扫描工具遗漏了关键漏洞。

更喜欢混合模式(人类支持AI测试)的组织比例在一年内飙升了22个百分点。使用自动化进行低风险环境测试的组织比例也上升了22个百分点,达到47%。

Cobalt首席信息安全官Andrew Obadiaru表示:"虽然业界对Mythos类工具的潜力感到兴奋是正确的,但无指导算法本质上比现有自动化扫描器更容易产生更多误报和代价高昂的漏报。"

AI攻击面扩大

报告指出,对AI自动化信任下降的一个主要原因是这些扫描器正在测试的AI攻击面的复杂性。

AI渗透测试中近三分之一的发现被评定为高风险——是常规软件平均水平的2.7倍。

在分析时,不到五分之二(38%)的LLM漏洞已被修复,62%仍处于开放状态——这是所有资产类别中最低的解决率。

AI/LLM安全问题的平均修复时间(MTTR)从19天上升到36天,Cobalt称这表明团队正在追踪"比以前复杂得多的漏洞"。

Obadiaru继续说道:"LLM漏洞是高度上下文依赖的,对于缺乏应用程序架构理解的工具来说是不可见的。要缩小验证差距,自动化应该部署在它擅长的地方,但精英人类专业知识仍然是发现和修复最复杂业务逻辑风险的基础。"

在经历AI相关事件的组织中,影子AI(44%)最为常见,其次是数据或模型中毒(41%)以及输出处理不当(41%)。供应链漏洞(35%)和提示词注入(34%)位列前五威胁向量。

虽然60%的安全专业人员表示他们需要更强的LLM测试能力,但只有42%计划增加人类主导的红队运营。


注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
— 【 THE END 】—

【声明】内容源于网络
0
0
数世咨询
中国数字化领域独立的第三方服务机构,提供网络安全行业的调查、研究与咨询服务。
内容 1150
粉丝 0
数世咨询 中国数字化领域独立的第三方服务机构,提供网络安全行业的调查、研究与咨询服务。
总阅读6.9k
粉丝0
内容1.1k