OpenAI组建安全团队:AI开始接管漏洞攻防
当AI越来越多地参与代码编写时,网络安全行业正在经历一种有些矛盾的变化:软件开发速度被大幅提升,但漏洞产生、发现乃至被利用的速度,也同步加快。
近日,前Semgrep安全研究主管Clint Gibler宣布加入OpenAI,并将与Michael Aiello共同负责网络安全方向建设。表面上看,这只是一次高管人才流动,但放在当前AI软件开发浪潮中观察,其背后透露出的信号远比人事变动本身更值得关注。
过去两年,大模型最直接的商业化场景之一就是编程。从GitHub Copilot到OpenAI Codex,再到各类AI编程智能体,软件开发已经从“辅助编程”逐渐走向“代理编程”。越来越多企业开始接受一个现实:大量基础代码并非由工程师逐行敲出,而是由AI生成,再由人类审核。
问题也随之出现。
传统安全体系建立在“人写代码、人审代码、人修漏洞”的逻辑之上。但当数百万行代码由智能体自动生成时,安全团队面临的挑战不再是寻找单个漏洞,而是如何应对成规模扩张的软件风险。Gibler提到,防守方已经很难依靠零散修补来解决问题,更现实的路径是利用AI自动生成更安全的代码,并自动完成检测、验证和修复流程。
这实际上代表着网络安全行业的一次范式转换。
过去十多年,安全产业主要依赖扫描器、渗透测试和人工审计。未来的竞争可能转向“AI对AI”的模式——攻击者利用模型寻找漏洞,防御者则利用更强大的模型提前发现并修复漏洞。双方都拥有自动化能力,比拼的将不再只是技术水平,而是模型训练规模、数据质量以及响应速度。
OpenAI显然已经开始布局这一方向。
根据公开信息,公司已经投入数百万美元用于发现和修复主流开源软件中的漏洞,覆盖浏览器、操作系统以及核心基础设施组件。这一点颇具战略意味。因为随着AI能力增强,大模型对关键软件生态的影响正在从“代码生成工具”转变为“基础设施维护者”。
如果AI能够自动发现Linux内核漏洞、修补浏览器安全缺陷、验证开源库依赖风险,那么其价值将远超传统聊天机器人业务。
从行业层面看,这也是当前AI厂商竞争焦点变化的缩影。
过去市场关注的是模型参数规模、推理能力和榜单排名;如今越来越多企业客户开始关心另一件事:这些模型是否能够安全地进入生产环境。尤其是在金融、能源、医疗、政府系统等关键领域,企业采购决策往往不取决于模型是否最聪明,而取决于模型是否最可靠。
因此,OpenAI此次强化网络安全团队,本质上是在为下一阶段企业级智能体市场铺路。
未来的大型AI系统不只是回答问题,它们将获得代码库权限、服务器权限,甚至直接参与企业运营流程。一旦安全能力不足,智能体可能成为新的攻击入口。反过来说,谁能率先建立可信的安全体系,谁就更有机会获得大型企业和关键基础设施客户的订单。
有意思的是,AI正在制造新的安全问题,也正在成为解决这些问题的工具。
这种循环正在形成一个新的产业链:模型负责写代码,模型负责审查代码,模型负责发现漏洞,模型再负责修复漏洞。网络安全不再只是软件开发后的附加环节,而开始嵌入整个软件生命周期。
对于OpenAI而言,引入顶级安全研究人员只是第一步。真正的竞争,或许是如何让AI从“代码生成器”进化为“代码守护者”。而这场竞赛,很可能决定下一代企业级智能体能否真正大规模落地。