6月24日,第十四届互联网安全大会(ISC.AI 2026)在北京国家会议中心开幕。360集团创始人周鸿祎在主题演讲后就AI对网络安全的冲击、中国版Mythos的打造、新一代AI工作平台”纳米Work”的发布,以及智能体在企业中的落地困境发表了系列看法。
“旧药方”失灵,漏洞从稀缺资源变成规模化资源
周鸿祎用一个比喻来定位当前网络安全行业的处境:做安全的人就像希腊神话里的西西弗斯,每天辛苦推石头上山,以为到了一个阶段安全终于告一段落,结果AI和智能体出现,新的问题又来了。
核心变量是Anthropic的Mythos。2026年初,这款曾引发美国网络安全巨头股价集体暴跌的模型,展示了一种前所未有的能力——批量、自主地发现和利用漏洞。
“过去30年,网络攻防平衡很大程度上建立在’漏洞难找’的基础上。高价值漏洞数量有限、发现成本高昂,往往只有少数顶级安全专家具备持续挖掘能力。”周鸿祎表示,AI改变了这一切,让漏洞发现变得更快、更便宜、更规模化。当漏洞从稀缺资源变成可规模化生产的资源,安全行业运行了30年的游戏规则被彻底改写。
他提出一个尖锐判断:中国网络安全正面临”第二次单向透明”。第一次是境外APT组织长期潜伏、”敌暗我明”;而这次是”敌快我慢、敌众我寡”——攻击方可以复制出大量黑客智能体同时工作,防守方却还在靠几个安全专家人工分析。周鸿祎用一个具体数据来说明差距:Mythos把漏洞发现的数量提高了100倍,速度提升两个数量级,成本下降两个数量级。”你的系统在攻击者眼里就是一个漏勺,到处都是可进攻的点。”
中国版Mythos:走智能体路线而非”大力出奇迹”
面对这一态势,360在本次ISC大会上发布了AI安全”倚天屠龙”两大核心能力——漏洞自动化挖掘智能体”图龙锋”和网络安全自动化防御系统”仪天阵”。周鸿祎明确表示”图龙锋”已具备与Mythos同等的漏洞挖掘能力,迄今累计挖掘漏洞3432个,其中监管确认105个。
但他在发言中同时指出,中国不能简单照搬国外”大力出奇迹”的路线——依靠海量算力和超大模型。360的策略是发挥工程化优势,走智能体路线,把大模型能力、安全专家经验和漏洞知识库组织成可协同工作的系统。在该系统中,360采用的基座模型来自智谱。”智谱在大模型训练上专注在coding上,进步蛮快的。智谱5.2效果我认为是目前国内最好的,让智能体跑几个任务你马上就能看出来效果。”
防的层面,他提出网络安全防御必须从”人海战术”走向”自动驾驶”。”靠卖点软硬件,再派安全专家服务,都没有人海了。真人的专家模式对抗不了算力,对抗不了算法。唯一的出路是以算力对抗算力。”
会上,360联合飞腾、麒麟、统信、海光等信创及安全产业伙伴发起”磐石之盾”安全协作计划,将”倚天屠龙”能力率先开放给重点信创企业和关键基础设施单位。周鸿祎解释:”美国把Mythos装进Glasswing联盟保护自己,中国也要有自己的协作体系,不能坐等风险爆发。我们借鉴这个做法,邀请20家软件、硬件、芯片、操作系统、数据库等国产信创关键厂商,把中国版Mythos免费给他们使用。”
当被问及Mythos技术泄露或被越狱利用的风险时,他态度谨慎:”Anthropic做了一个阉割版给外面人用,但也不安全,都被人越狱了。我们这边肯定是受限制使用,不是自由开放。”
放弃”龙虾”:纳米Work的务实路线
在AI应用侧,周鸿祎此次对外介绍了360旗下新一代AI工作平台”纳米Work”。该平台已上线PC端(work.n.cn),定位是对标创业者、中小企业老板——”本来就雇不起太多人,用智能体来打造一支能替他干活的团队”。
值得一提的是,周鸿祎坦言自己内部已经放弃了年初爆火的”龙虾”(OpenClaw)智能体。原因有二:安全上的不确定性和Token消耗的失控。
“我们做了半年的安全龙虾,两个问题上都快让我绝望。一个是核心的安全不确定性,龙虾为了追求超强能力,设计逻辑是’为了达到目的不择手段’,可以用任何工具、需要所有权限,就像一个不守规则又给了无限权限的员工,引入企业内部总要捅娄子。”他进一步解释,龙虾随便说几句话、查个天气,就要消耗近千万Token。”为了获得超能力,它的模式是给自己一个死循环,不断尝试几十种方法,或者把目标分解成几十个步骤。做个PPT得消耗上亿Token。”
纳米Work则重新参考了Claude Code的架构,走可管理路线。周鸿祎指出,智能体在企业内必须分类:工作流型智能体(按固定流程、使用企业认定工具)可以放开用;推理型智能体(给目标自己找路径)只能在限制环境中使用——”如果随便放手使用,一定会带来不安全的问题,而且后果无法预言”。关于隔离方案,他透露360的思路是”不再把智能体放在你的电脑上,而是放在云上虚拟机里,给一个独立的云上办公室,出问题损坏的是虚拟环境,不会进入企业内网”。
智能体落地:知识库和组织变革是两道坎
话题转向更宏观的企业AI落地困境时,周鸿祎用了两个例子来说明问题。
第一个是知识积累。他以360自己为例:想做一个能了解公司上周运营情况的智能体,技术上不难,难在没有数据——会议没记录,非正式沟通不知道,邮件只是最后结果的抄送。”企业数字化越扎实,智能化难度就越低。如果连内部数据都没沉淀下来,智能体无非就是抓抓外面的网页、做点分析、写点文章,很难进到企业业务流程里。”
第二个是组织变革。他发现一个”全世界解决这个问题的公司都不多”的困境——内部员工人手一个Claude Code,人人都说代码提交量增加了很多,但整个组织的效率没有提高。”光把AI当成单点工具提高单点效率,组织架构、岗位定义、业务流程都没变,就像把最先进的发动机装在马车上。”他举了Anthropic的例子:那里产品经理都能写代码,没有前后端工程师之分,都变成了全栈工程师。”我们很痛苦的不是说上了AI就解决了问题,而是要不要改变你的企业文化、组织架构,甚至压平原来的管理流程。”
对于智能体时代的员工定位,周鸿祎的观点颇为务实:”很多人有一个误解,觉得用了AI就能大面积裁员工。实际上AI给了很多员工机会。会用AI的人在企业里越发展越好。智能体出了错,还得有人来擦屁股。最后淘汰的是不懂AI、不用AI提高效率的人。”
当被问及AI编码是否会让漏洞挖掘行业在将来失去存在意义时,他先是肯定了推演方向——”AI写代码如果比人更安全,传统漏洞攻击会减少”,紧接着又自我推翻:”老的安全问题消除了又会带来新的安全问题。当智能体普及之后,智能体自己胡思乱想、用错工具和数据、自我进化到难以预测的方向,都是新的安全风险。”
“就像自动驾驶普及后,传统人开车导致的车祸会减少,但如果车载智能体发生误判或被黑客控制,自动驾驶车就成了新麻烦。人类不可能进化到乌托邦时代,什么问题都没有了。”他以这句话结束了对未来的预判。
原创文章,作者:志斌,如若转载,请注明出处:http://damoai.com.cn/archives/16592
