AI安全审查：当“花多少钱”决定“有多安全”

起因：一份报告引发的经济视角

事情的起因是英国AI安全研究所（AISI）发布了一份对Claude Mythos Preview网络能力的独立评估报告。报告证实了Anthropic的说法，即该模型在识别安全漏洞方面异常有效。但真正引发讨论的，是分析师Drew Breunig从报告中提炼出的一个关键洞察：AISI发现，投入的Token（即金钱）越多，Claude Mythos找到的漏洞就越多、结果越好。

这看似简单的发现，却指向了一个深刻的转变：网络安全的本质，可能正从纯粹的技术对抗，演变为一场经济资源的博弈。

拆解：从技术猫鼠游戏到“工作量证明”

传统网络安全是攻防双方技术能力的较量，充满不确定性。但Drew Breunig提出了一个新比喻：它现在看起来像“工作量证明”（Proof of Work）。在区块链中，“工作量证明”要求参与者消耗大量计算资源来获得记账权，从而确保系统安全。在AI安全审查中，逻辑惊人地相似：

要加固一个系统，你需要投入足够的算力（Token）去发现漏洞。而攻击者要利用这些漏洞，也需要投入相应的算力（例如，用AI分析系统、生成攻击代码）。因此，安全变成了一个残酷而简单的方程式：防御方投入的发现成本，必须高于攻击方的利用成本。只要你的“预算”比潜在攻击者高，系统就更安全。这就像一场用金钱堆砌的“安全军备竞赛”。

趋势洞察：开源价值的意外回归

这个趋势带来了一个反直觉的推论：开源项目的价值不降反升。过去几年，一种观点认为，借助AI的“氛围编程”（Vibe-Coding），人们可以低成本、快速地造出替代轮子，这让维护大型开源项目显得不那么有吸引力。

但Drew Breunig指出，如果安全依赖于高昂的、持续的Token投入，那么开源模式就展现出巨大优势。因为投入在审查一个开源库（如OpenSSL）安全上的Token，其成果可以被成千上万的使用者共享。每个用户无需独自支付这笔昂贵的“安全税”。相比之下，一个用“氛围编程”快速拼凑的私有替代品，其安全审查成本需要由单一团队或个人完全承担，这在经济上可能非常不划算。因此，AI安全经济学反而巩固了开源协作的基石地位。

实用价值与反常识

对于开发者和架构师而言，这意味着在选择技术栈时，除了功能、性能，还需要增加一个“安全经济学”的维度。依赖经过大规模、持续安全审计的成熟开源组件，可能比自建或使用小众方案更具成本优势和长期安全性。安全不再仅仅是“写更安全的代码”，更是“如何更聪明地分配安全预算”。

最反常识的一点是：我们通常认为AI会让软件开发成本趋近于零，从而削弱大型项目的护城河。但在安全领域，AI反而可能通过抬高“可信安全”的基准成本，加强了资源集中和协作的必要性，让大型、被广泛审计的开源项目变得更不可或缺。安全，这个曾经最依赖人类专家智慧的领域，正在被AI重塑为一场关于资源效率的理性计算。

---

原文地址: Cybersecurity Looks Like Proof of Work Now