人工智慧網路安全不等於工作量證明

背景

這場討論源於知名開發者 antirez 對「AI 資安是否等同於工作量證明（Proof of Work）」的反思，並直接回應了近期在 Hacker News 上熱議的另一篇觀點。核心爭議在於，當 AI 被大規模應用於漏洞挖掘與修補時，資安防禦是否會演變成一種單純比拼運算資源與代幣消耗的軍備競賽，以及這種模式是否真能有效提升系統的安全性。

社群觀點

社群對於 AI 介入資安領域展現了深度的憂慮與懷疑。許多討論者指出，資安本質上存在著嚴重的不對稱性，這並非單靠增加運算量就能解決。攻擊者只需要在成千上萬的程式碼中找到一個可利用的漏洞即可宣告成功，而防禦者卻必須找出並修補所有潛在問題。即便 AI 能加速漏洞發現，防禦方還面臨著部署延遲的困境。一旦補丁發布，攻擊者反而能透過逆向工程快速掌握漏洞細節，並在用戶尚未更新系統的數小時內發動攻擊。這種速度上的落差，使得 AI 的介入可能反而縮短了攻擊者的反應時間。

此外，AI 幻覺問題在資安應用中顯得尤為致命。有觀點質疑，如果弱模型會產生幻覺並偶爾撞見真實漏洞，那麼更強大的模型是否只是「更高效地產生幻覺」，從而導致防禦資源被浪費在處理虛假警報上。雖然有人樂觀地假設，當模型能力達到一定閾值後，或許能產出近乎無誤的程式碼，但反對者認為安全性高度依賴於威脅模型，包括側向通道攻擊或執行時間一致性等物理層面的問題，這些並非單純靠形式化驗證或增加代幣消耗就能完全解決。

討論中也反映出一種對技術開發節奏過快的集體疲勞。部分留言者呼籲資安領域需要類似《沙丘》中「布薩布」（BuSab）那樣的機構來刻意減緩發展速度，認為目前這種對 npm 更新、即時新聞與技術更迭的瘋狂追逐並不健康。特別是在經濟效益低下的領域，如廉價的物聯網感測器，即便 AI 發現了漏洞，廠商也可能因為缺乏利潤而不願支付代幣成本去修復，導致大量基礎設施長期暴露在風險之中。

最後，社群提醒不應過度神化特定的 AI 工具或模型。雖然有傳聞指出某些大型企業的員工已在使用如 Mythos 等先進系統，但對於大多數開發者而言，資安的本質仍應回歸到深度防禦與緩解控制。AI 雖然改變了威脅向量的形狀與速度，但「應用偏執」與基礎防禦原則依然是不可忽視的核心。

延伸閱讀

• Hacker News 討論串：Cybersecurity looks like proof of work now (https://news.ycombinator.com/item?id=47769089)