“很多人担心，AI会让黑客获得压倒性优势，但现实并没有这么简单。”

全球知名密码学家、网络安全专家Bruce Schneier在谈及Anthropic AI模型“Mitos”对网络安全行业的影响时表示，AI会同时增强攻击方和防守方的能力，但从长期趋势看，优势仍更可能站在防守方一边。

不过他也提醒，在新的安全规范和防御方法真正成熟之前，未来几年网络攻击事件可能持续增加。尤其是汽车、冰箱、遗留金融系统等更新缓慢、甚至几乎无法更新的系统，在可行解决方案成熟前，仍可能反复暴露在攻击风险之下。

Bruce Schneier指出，面对AI带来的安全威胁，不同行业的应对难度并不相同，风险水平也会因漏洞类型而异。

基于这一判断，他将漏洞分为四类。

第一类是可以被自动发现、验证并修复的漏洞；第二类是发现难度较高，但一旦定位后可以迅速修复的漏洞。

他表示，这类情况常见于采用标准软件栈的云端Web应用。由于更新能够快速部署，防守方通常有能力跟上漏洞修复节奏。

第三类则是容易发现、但难以修复甚至无法修复的漏洞，多见于长期不更新的IoT家电和工业设备。第四类是在代码层面看似容易发现，但在真实运行环境中却很难验证的漏洞。Bruce Schneier称，在成千上万个服务同时运行的复杂分布式系统中，真实漏洞与误报往往很难区分。

他强调，区分这四类漏洞，是AI时代制定网络安全策略的起点。原因在于，不同漏洞在可修复性和验证难度上差异明显，相应的防御方式也必须随之调整。

他进一步指出，智能手机、Web浏览器以及主要互联网服务等更新速度较快的系统，虽然会因AI而更快暴露漏洞，但也能以更快速度完成修复，因此防守方仍有机会追上攻击节奏。

真正的挑战集中在那些难以修复的系统上。Bruce Schneier表示，对于冰箱、汽车、工业控制设备、遗留金融系统等更新困难的系统，应尽量避免其直接接入互联网，并部署在严格的防火墙之后。同时，“最小权限原则”依然有效，即各个组件只应拥有完成自身任务所必需的访问权限。

在他看来，AI时代的软件开发实践也需要随之调整。他提到，利用AI Agent在真实环境中持续开展攻击测试、筛选真实漏洞的“VulnOps”，将成为开发流程中的标准做法。

他还认为，文档的重要性将进一步上升。Bruce Schneier指出，开发者理解代码需要依赖文档，AI Agent在定位缺陷时同样会参考文档。文档越完善，AI就越能更快理解代码结构，并更准确地识别漏洞。

他补充说，与完全自研相比，采用行业标准工具和代码库，更符合AI已经学习过的模式，也有助于提升漏洞识别效果。