“当AI进入应用内部，安全架构也必须随之调整。未来调用应用的主体未必是人，而可能是软件本身，安全、交付、身份和治理体系都需要重新审视。”

6月23日，在“F5 AppWorld Seoul 2026”期间，F5亚太、中国和日本（APCJ）区域营销副总裁 Kunachilan Nallapan 在与媒体交流时表示，随着混合云、多云环境持续扩展，叠加AI驱动的应用架构演进，以及自动化、Agent化趋势加快，企业所面临的安全威胁正在迅速升级。围绕这一变化，F5正基于其应用交付与安全平台（Application Delivery and Security Platform，ADSP）调整应对策略。

他指出，大语言模型（LLM）正在带来新的攻击面。攻击者已开始借助AI以机器速度发起攻击，而企业仍主要依靠人工节奏进行防守，二者之间的速度差正在推高风险。随着应用与模型、AI决策系统、API以及用户体验的连接日益紧密，企业也需要在更加分散的环境中建立一致的安全控制能力。

在 Kunachilan Nallapan 看来，企业若要以统一方式推进AI安全，至少需要覆盖“前门”、编排和推理三大控制点。

其中，“前门”是外部请求与系统首次交互的入口，也是安全防护的第一道关口。他表示，用户提示词在到达模型之前，通常会先经过Web应用，这一环节本身就构成了主要攻击入口。

F5援引调研数据称，今年Web攻击同比增长77%，机器人攻击增长157%。与此同时，企业正在同时接入多个LLM，AI代理也开始成为应用的实际调用主体，这使得原有防护体系面临更大压力。

他认为，传统Web应用防火墙（WAF）主要面向已知威胁，核心机制仍建立在静态规则之上，因此在当前攻击模式变化下存在明显局限。攻击者如今可以在数秒内生成新的恶意载荷，单靠静态规则已难以及时拦截；既然攻击是实时发生的，防御也必须具备实时能力。

基于这一判断，F5对既有WAF架构进行了重构。在保留签名、攻击指标和风险情报能力的同时，新增了一层基于自有数据训练的神经网络模型。

据介绍，这一新增神经网络层可实时分析行为，并在微秒级完成安全判断；在无需GPU的情况下，仅依靠CPU即可运行，也可部署在边缘侧，从而在流量路径中完成防护而不牺牲响应性能。Kunachilan Nallapan 表示，F5分布式云WAF在无需更新签名的情况下已检测到10起零日攻击；误报率也从原先的28%降至1%以内，检测准确率则由64%提升至98%。

第二个控制点是编排层，主要负责为提示词补充上下文，并与企业内部系统联动。针对这一层面的安全需求，F5于去年收购了 Calypso AI，并推出“F5 AI Red Team”和“F5 AI Guardrails”。其中，F5 AI Red Team用于发现漏洞，F5 AI Guardrails则用于阻止信息泄露。

今年3月，F5又发布“AI Remediate”，可将红队训练结果自动应用到 F5 AI Guardrails，在无需人工介入的情况下完成策略更新，从而推动AI安全运营自动化。

第三个控制点位于AI推理阶段。Kunachilan Nallapan 表示，全球每天大约会生成50万亿个token。围绕推理环节，企业需要同时优化五项关键指标，包括每秒token吞吐量、首个token生成时间、单token成本、端到端时延以及电力约束。围绕最新的AI工厂架构，F5也在持续投入网络、安全和负载均衡能力，以支持企业更高效地扩展AI基础设施。

此外，F5还在当天的活动上宣布收购 Sure Path AI，用于识别企业管理范围之外的“影子AI”。他表示，随着 Sure Path AI 并入，F5将形成覆盖 Guardrails、Red Team、AI Remediate 和 Sure Path AI 的统一AI安全平台。