「写内存安全代码比打补丁更有效。」两位纽约大学安全研究者这样判断。当攻击成本跌破1美元,传统防御逻辑正在失效。

攻击端已经变了

打开网易新闻 查看精彩图片

大语言模型(一种基于海量文本训练的人工智能系统)让攻击门槛断崖式下跌。以Anthropic的Claude Mythos为例,这类工具如今能发起快速且高强度的网络攻击

1美元能买什么?一次定向钓鱼、一轮自动化漏洞扫描、或者一场针对中小企业的勒索尝试。成本结构的重塑,意味着攻击者的数量级增长。

但防御不能只靠AI对轰

研究者Justin Cappos指出,生成式人工智能(能自主生成文本、代码等内容的技术)并非防御的万能解药。他的判断基于一个基本事实:Cappos本人是多项广泛使用的软件供应链安全技术的创造者,他见过太多"补丁追着漏洞跑"的困局。

Evan Johnson将于2026年秋季加入纽约大学担任计算机科学与工程助理教授。两人共同指向一个方向——与其在漏洞爆发后紧急修补,不如从源头写就内存安全代码。

为什么"耐用防御"开始 payoff

内存安全代码(通过编程语言特性防止缓冲区溢出等内存错误的技术)的底层逻辑是减少攻击面本身。当攻击成本趋近于零,单次防御的投入产出比被彻底改写:一次性的架构级改进,比无限循环的应急响应更划算。

这对安全团队的产品选型有直接影响。预算分配正从"响应工具"向"预防基建"迁移——不是买更多检测引擎,而是重写关键模块的语言栈。

研究者没有给出具体数字,但趋势明确:当攻击进入"1美元时代",防御的复利效应比短期拦截更有价值。安全产品的核心指标,或许该从"拦截率"转向"架构韧性"。