备注:1.本文旨在探讨因引入人工智能技术而导致的攻击暴露面扩大问题,并提出相应的应对思路。需要说明的是,受篇幅所限,本文不讨论人工智能系统自身所带来的暴露面问题。2.文中所述技术能力不代表国内任何安全厂商所推出的具体安全产品。文中涉及的安全方法论如需转载,请注明来源于相应来源及作者。摘要:本文提出一种ZAVTV体系架构,通过零信任理念与台账管理、漏洞管理相结合,形成协同防御体系,最终实现对AI所引发的新增暴露面的系统化识别与有效管控。一、背景介绍1.1暴露面定义网络安全学科中一个术语叫做“脆弱性”。“脆弱性”指组织网络环境中默认不安全的配置、安全漏洞、易被内外部威胁者作为攻击目标的薄弱点等比如不符合安全长度的密码、低版本的第三方软件等。美国管理学家彼得·德鲁克(Peter F. Drucker)提出了木桶理论,大意是木桶能够装满多少水,取决于构成木桶的木板中最短的部分。同理组织网络安全防护体系的健壮性和自适应安全性取决于构成组织网络安全防护体系组件中防护最薄弱的环境暴露面,顾名思义,指的是暴露的面,也就是说组织网络环境中的脆弱性被内外部威胁者通过不同的方式获取后后所形成的攻击入口。。不同的暴露面对不同组织的威胁不同,同一个暴露面对不同组织的威胁也不同。1.2 AI带来的暴露面是什么人工智能(‌Artificial Intelligence,简称AI)并不是一个新的概念,其提出可以追溯到1950年,经过半个多世纪的发展,已经实现了从弱人工智能到强人工智能的跨越。大语言模型、智能体、具身智能等技术的应用,在推动各行业发展的同时也带来了安全风险。网络安全行业亦不例外,人工智能技术提高了防御者对网络攻击的检测能力,也降低了攻击者的攻击门槛、提高了攻击效率。2026年初,美国Anthro