摘要：多年来，关于“AI会抢走你的工作” 的说法不绝于耳。2017 年，麦肯锡曾发布《工作流失与新增：自动化时代的劳动力转型》报告，预测到 2030 年，会有 3.75 亿劳动者不得不寻找新工作，否则就可能被AI和自动化淘汰，这一预测引发了广泛焦虑。

多年来，关于“AI会抢走你的工作” 的说法不绝于耳。2017 年，麦肯锡曾发布《工作流失与新增：自动化时代的劳动力转型》报告，预测到 2030 年，会有 3.75 亿劳动者不得不寻找新工作，否则就可能被AI和自动化淘汰，这一预测引发了广泛焦虑。

关于哪些职业会受到AI冲击的讨论从未停止，而渗透测试（Pentesting）最近也被推到了风口浪尖。随着AI现在能够自动化执行诸如漏洞扫描和网络扫描等任务，以及像PlexTrac这样的平台正在引入AI功能以减少手动操作，渗透测试师会因此失业吗？

我们不妨乐观些。今年，麦肯锡撤回了之前 3.75 亿劳动者将被AI取代的预测，把数字下调到了大约 9200 万。相关文章进一步安抚大家，虽说有些工作可能会过时，但更可能的情况是工作会经历转型，而且预计会有 1.7 亿个新职位在这场变革中诞生。

回到渗透测试领域，可以合理推测，未来几年渗透测试的某些环节将更加自动化，一些相关岗位可能需要转型。但AI缺少一个让渗透测试与其它自动化扫描工具区别开的关键要素：人性化因素。正如云安全联盟（Cloud Security Alliance）所提到的：“与其取代人类，AI更像是渗透测试师的能力放大器。”

很多人误以为，人工智能会让渗透测试人员成为历史，但实际情况要复杂得多。自动化确实已经开始简化一些单调、重复的任务，可人类的创造力和专业知识依旧无可替代。

1. “脚本小子” 正在（机器）学习

人工智能正在改变渗透测试的入行门槛。借助人工智能工具，那些技术经验不足的人，也就是常说的 “脚本小子”，不用深入了解底层机制，就能开展更复杂的测试。人工智能通过自动化漏洞扫描、对手模拟、漏洞利用等复杂任务，降低了入行难度。有了这样的自动化，这些用户能更轻松地找出并利用系统中的弱点。

虽说渗透测试人员可能不太瞧得上 “脚本小子”，但人工智能和自动化的进步对大家都有好处。把简单易做的任务去掉，不同水平的测试人员就能去承担更复杂、更有价值的工作，提升自身技能水平，工作起来也更高效、更靠谱。有了人工智能处理繁琐的基础工作，所有测试人员都能专注于学习渗透测试里更深入的细节，最终变得更熟练，为安全领域贡献更多力量。

2. 专注高价值工作：让AI处理单调任务

受益于AI的可不止 “脚本小子”，渗透测试人员同样能从中获利。利用自动化，渗透测试人员能腾出精力，去做那些需要更高专业水平或人工干预的任务。比如说，AI能自动发现漏洞，让渗透测试人员专心设计独特的漏洞利用方法，或者开展高级红队演练，这类演练需要对人类行为和业务逻辑有细致入微的理解。

以下是AI可以自动化处理的具体任务：

助力开展更深入的研究，进行开源情报（OSINT）收集。

扫描目标系统中常见的漏洞和暴露点（CVE）。

执行基本的网络扫描，识别潜在的攻击途径。

根据严重程度和可利用性，对发现的漏洞进行分类和排序。

依据当前工作涉及的技术栈，设计漏洞利用方案。

根据之前发现的漏洞，建议额外的测试用例。

通过去除这些重复任务，AI让渗透测试人员有更多时间去探索复杂的漏洞利用方法，找出隐藏的缺陷，进行创造性思考。在可预见的未来，这些技能仍然是AI望尘莫及的。

3. 钓鱼攻击和社会工程2.0：AI为模拟攻击提供更强助力

AI对渗透测试的影响在社会工程领域也显而易见。这项技术正在推动钓鱼攻击模拟和培训演练的进步。AI能够分析大量数据，理解人类行为，并设计出更具迷惑性的钓鱼攻击或社会工程场景，使渗透测试师能够进行更逼真的攻击模拟。这意味着企业能更好地应对真实世界中的威胁，因为AI提升了模拟攻击的真实性。

此外，AI工具还能提供反馈和指导，帮助渗透测试师改进社会工程技术，并从过去的演练中学习，逐步完善他们的能力。

4. AI将加速渗透测试流程：速度与精准并存

AI可以大幅加速渗透测试生命周期的各个阶段，例如：

OSINT和信息收集：AI可以分析组织的技术栈，识别所使用的工具和平台中的已知漏洞，并比人工更快地提出潜在的攻击向量。

威胁建模：基于收集到的数据，AI可以根据与收集情报相关的历史成功率，推荐特定威胁进行模拟。

异常检测：在处理海量数据集时，AI擅长发现模式并识别异常。它可以标记出可能被数据海洋埋没的异常发现，让渗透测试师专注于最关键的风险。

漏洞利用开发：AI工具可以帮助渗透测试师生成针对特定技术栈或系统的漏洞利用代码。

后渗透阶段：AI可以帮助清理渗透测试的痕迹，以更全面的方式移除测试者存在的证据。它还可以留下虚假线索，迷惑防御者，将调查引入歧途。

渗透测试/攻击性安全报告：就像GPT工具能帮助你写邮件一样，生成式AI可以加速渗透测试报告的撰写。领先的渗透测试报告平台PlexTrac已经集成了AI功能，帮助生成漏洞利用发现、总结数据，甚至起草报告的执行摘要。当然，你需要确保所使用的平台能保护你的数据安全。PlexTrac自主研发的AI解决方案采用预训练模式，系统和底层组件不会随时间学习或保留用户提交的内容，仅在处理提交和生成响应时使用。

未来的渗透测试很可能将形成AI与人类专业知识协同合作的关系。以下是AI在不久的将来如何支持渗透测试师的方式：

协作：AI可以作为渗透测试师的助手，帮助分析发现、生成报告，甚至根据过去的经验推荐下一步行动。它可以充当“红队助手”，促进团队成员之间的协作，并在整个测试过程中提供指导。

业务逻辑和上下文感知：AI还将帮助渗透测试师理解漏洞如何影响业务。AI不仅能识别技术缺陷，还能提供上下文，说明该缺陷可能导致业务中断、数据丢失或声誉受损。这种理解将指导渗透测试师为报告提出更具影响力的建议。

代理框架和推理模型：随着推理模型的进步，AI能够提供其做出特定决策背后的逻辑，让渗透测试师更好地理解其发现和建议的依据。这种透明性将改善人类与AI的互动方式，并提升其在渗透测试任务中的有效性。

AI的目的并非取代渗透测试师，而是让他们的工作更快速、更高效、更有效。扫描漏洞、撰写报告甚至执行基本漏洞利用等琐碎任务都可以交给自动化，但那些需要创造力、批判性思维和深厚技术知识的任务仍然需要黑客的智慧。

通过将AI视为增强工作的工具，渗透测试师可以将更多时间投入到他们工作中最激动人心且最具挑战性的部分——黑客攻击、问题解决和智胜对手。随着AI的不断发展，显然渗透测试师将获得更多能力，而不是被取代。事实上，那些拥抱AI的人很可能会在不断变化的网络安全领域中更具竞争力。

来源：FreeBuf