1、 2025云安全联盟大中华区版权所有1 2025云安全联盟大中华区版权所有2人工智能技术与风险工作组的永久官方地址是https:/cloudsecurityalliance.org/research/workgroups/ai-technology-and-risk2025 云安全联盟大中华区 保留所有权利。您可以下载、存储、在您的计算机上显示、查看、打印以及链接到云安全联盟网站 https:/cloudsecurityalliance.org，但须遵守以下条件：(a)草案仅供您个人、信息性和非商业用途使用；(b)不得以任何形式修改或更改草案；(c)不得重新分发草案；(d)不得移除商标、版权或

2、其他声明。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2025云安全联盟大中华区版权所有4致致谢谢AI应用于进攻性安全由CSA工作组专家编写，CSA大中华区组织AI安全工作组进行翻译并审校。中文版翻译专家组翻翻译译组组成成员员：崔崟潘季明侯芳卜宋博党超辉审审校校组组成成员员：张淼卞超轶高健凯卜宋博英文版本编写专家倡倡议议负负责责人人：Adam LundqvistKirti Chopra主主要要作作者者：Adam LundqvistKirti ChopraMichael RozaSven Vetsch 2025云安全联盟大中华区版权所有5贡贡

3、献献者者：Candy AlexanderDavid McCroryElier CruzGovindaraj PalanisamyJohn JiangKeith PasleyKen WallingLars RuddigkeitMaria Schwenger审审校校组组：Adam LomasAkhil MittalAkshat VashishthaAlex ReboAshish VashishthaKen HuangNancy KramerNeil KesslerPatrick SchmidRocking Wolf Ranch 2025云安全联盟大中华区版权所有6Sven OlenskyVaibh

4、av MalikVenkatesh GopalVivek Shitole联联席席组组长长：Chris KirschkeMark YanalitisC CS SA A 全全球球工工作作人人员员：Josh BukerStephen Smith 2025云安全联盟大中华区版权所有7目 录致谢.4执行摘要.9关键发现.9建议.10引言.10进攻性安全.10进攻性安全的当前挑战.13人工智能（AI）.15大语言模型（LLM）.15AI智能体.16AI驱动的进攻性安全.18AI增强和自主性.19侦察.22扫描.23漏洞分析.25利用.26报告.29 2025云安全联盟大中华区版权所有8威胁行为者对AI的使

5、用.30AI驱动进攻性安全 不久的将来.32挑战与限制-风险与应对措施.35治理、风险和合规（GRC）.40可信赖的AI实施.40第三方风险管理.41GRC考量因素.41GRC总结.43结论.43参考文献.44 2025云安全联盟大中华区版权所有9执执行行摘摘要要人工智能（AI）技术，特别是大语言模型（LLM）和由 LLM 驱动的 AI 智能体（AIAgent）的出现，引发了进攻性安全（Offensive Security）领域深刻变革，包括漏洞评估、渗透测试和红队演练。这一转变将 AI 从一个狭窄的应用场景重新定义为一种多功能且强大的通用技术。本文探讨了基于 LLM 的 AI 变革潜力，通过

6、研究其与进攻性安全的集成，以解决当前挑战，并展示了 AI 在五个安全阶段侦察、扫描、漏洞分析、利用以及报告中的能力。关关键键发发现现进攻性安全的挑战：安全团队面临专业人才短缺、环境日益复杂和动态变化，以及平衡自动化测试与手动测试的需求。AI 的能力：AI，主要通过 LLM 和 AI 智能体，提供了在进攻性安全方面的卓越能力，包括数据分析、代码、文本生成、规划现实攻击场景、推理和工具编排。这些能力可以辅助自动化侦察、优化扫描流程、评估漏洞、生成综合报告，甚至自主利用漏洞。AI 的益处：在进攻性安全中利用 AI 可以提高可扩展性、效率、速度，发现更复杂的漏洞，并最终提升整体安全态势。没有银弹：尽管