当前关于人工智能安全的讨论,大多聚焦于AI模型本身可能出现的问题。然而,更为紧迫的挑战在于:我们现有的检测系统仍存在大量盲区,而旁路攻击(side-channel attacks)正在将这一盲区暴露得愈发清晰。
旁路攻击并不针对软件代码本身,而是通过功耗、电磁辐射、处理时间等物理因素来获取信息或干扰程序执行。攻击者可以借助硬件偶然产生的电磁信号,窃取加密密钥等敏感数据。
近期研究表明,外部观察者仅需分析加密流量的模式,无需解密内容、无需检查数据包,仅凭流量结构、时序和序列特征,就能推断出一次AI交互的主题。这些信号客观存在,但它们游离于内容安全工具的检测范围之外。
这不仅仅是一种新型攻击技术,更是检测架构设计存在深层缺陷的有力证明。我们构建的安全体系以匹配威胁指标为核心,而如今,越来越多的关键信号根本不以任何指标的形式呈现。
规则的局限
过去二十年间,安全检测始终以规则为核心驱动力。特征签名、阈值设定、已知模式识别和异常基线,共同构成了安全运营的基础框架。行业在持续优化这一体系——更多规则、更精准的规则,乃至借助AI系统更快速地编写和调优规则。
然而,这一切都无法突破底层逻辑的根本制约:规则的运作前提,是存在可供匹配的离散信号——已知特征、可识别偏差或被突破的边界。
旁路攻击恰恰不提供这类信号。许多现代入侵行为同样如此。攻击者借助加密信道、合法工具或AI辅助工作流在环境中穿行,每一步操作在单独审视时都是合规的,始终不会触发任何规则可以评估的条件。只有将这些步骤放在时间维度上加以关联,异常模式才会浮现。
这就是检测盲区的本质——它不是覆盖范围不足的问题,而是架构层面的根本性局限。有一整类攻击行为从不触发任何可匹配的信号,因此也就永远不会产生任何告警。
盲区正在扩大
这一盲区带来的现实后果十分直接:在某些场景下,攻击者已在环境中活动,安全团队却毫无察觉——收不到任何告警,甚至连低置信度的提示都没有,更谈不上任何可供调查的线索。
旁路攻击是其中一个典型案例。数据就在那里,但它隐藏在时序、序列和交互模式之中,而传统工具根本没有能力解读这类信号。低慢渗透、离地攻击(Living off the Land)以及能够随环境动态调整的AI辅助攻击链,同样面临这一困境。
随着各组织在业务运营和攻击工具中大量引入AI,落入检测盲区的活动比例只会持续上升。
与此同时,大多数安全投入仍集中于优化已覆盖的领域——更快的规则生成、更精细的调优、更高效的告警分类。这些改进固然有价值,却对那些根本不产生告警的攻击面无济于事。
AI被用在了错误的层面
目前,大量AI能力正在安全运营领域落地部署,在告警摘要生成、调查提速、减轻分析师工作负担等方面发挥着切实价值。
然而,这些系统大多工作在检测发生之后,其本质是提升响应效率,而非从根本上改变检测的工作方式。这一区别至关重要。
如果某类攻击行为根本不产生告警,那么再强大的自动化、摘要生成或优先级排序能力,都无法将其呈现出来。旁路攻击再次印证了这一点:信号是存在的,但它的表达形式既无法被基于规则的系统捕捉,也无法被事后响应型AI处理。对于那些通过合法操作、加密信道或渐进式推进展开的攻击,同样如此。
行业正在大力投资,让检测流程变得更高效;却鲜少投入,去扩展检测本身能够观测到的范围。
行为,而非单点事件
要弥合这一盲区,需要一种全然不同的检测思路——不再依赖预定义的威胁指标,也不再依赖人工编写的规则。
安全团队所需的信号其实已经存在:操作序列、系统间的关联关系、行为的时序与演进方式,这些维度共同揭示的意图,是任何单一事件都无法呈现的。
颇为讽刺的是,那些使旁路攻击成为有效手段的深度学习方法,同样可以被用于识别流量模式、判断其中是否潜藏攻击。
攻击者通过加密信道实施横向移动,留下的痕迹并非流量内容,而是访问模式随时间的演变方式。旁路攻击泄露的不是数据本身,而是数据的结构。这一原理同样适用于各类现代攻击技术。
要读取这类信号,检测系统必须建立在对行为序列的分析之上,而非针对孤立事件的判断。系统需要评估的是:一系列活动是否符合相关系统在时间维度上的预期行为模式,而不仅仅是某个单一动作是否看起来异常。这与规则优化是截然不同的问题范畴,它需要能够从结构化运营数据中学习、并识别出从未被明确定义过的模式的模型。
对于正在评估AI安全投资的安全负责人而言,这是一个值得重点关注的区别:有些系统的价值在于提升现有检测流程的效率,另一些系统则通过识别规则无法表达的行为,真正扩展了检测的边界。两者都有其价值,但它们解决的是本质上不同的问题。
重新审视检测能力
对大多数组织而言,第一步并非引入新工具,而是更准确地理解现有检测策略的实际覆盖边界。
这需要对可见性进行一次诚实的评估——不只是"某个技术对应的规则是否存在",而是"在真实场景下,系统是否能够可靠地检测出它"。早期侦察活动、隐蔽的横向移动、融入正常操作流中的异常行为,往往是盲区最集中的地方。
这还需要审视检测本身的运作方式。如果整个安全体系都建立在匹配单点事件或预定义指标的基础上,那么这一局限就是结构性的,单纯提升规则质量无法解决根本问题。
在评估AI驱动的安全能力时,核心问题其实很简单:这个系统能够检测出规则无法捕捉的行为,还是只是让基于规则的检测运行得更高效?厘清这一区别,是做出明智投资决策的关键前提。
弥合检测盲区的价值,远不止于压缩响应时间,它真正改变的是组织感知异常的时机。
更早的检测意味着更短的驻留时间、更有限的事件影响范围,以及在攻击者达成目标之前采取行动的机会。它还能帮助组织建立对真实风险敞口更准确的认知——许多组织因其工具在受限检测模型下表现良好,而对自身的可见性产生了虚假的自信。
旁路攻击本身就是一个有价值的信号。它证明了有意义的信息可以存在于传统系统设计边界之外,更重要的是,它揭示出有多少此类信息正在被我们忽视。
AI并没有制造这个问题,它只是将这个问题暴露了出来。
真正能够适应这一变化的组织,不会只是在现有检测模型内部跑得更快,而是从根本上扩展检测所能观测到的范围。
Q&A
Q1:什么是旁路攻击?它为什么能绕过传统安全检测?
A:旁路攻击不针对软件代码,而是通过功耗、电磁辐射、处理时间等物理因素获取信息。它之所以能绕过传统检测,是因为传统安全工具依赖规则匹配已知特征或异常指标,而旁路攻击产生的信号隐藏在流量时序、结构和交互模式中,没有可供规则匹配的离散信号,因此不会触发任何告警。
Q2:现有的AI安全工具为什么不能解决检测盲区问题?
A:目前大多数AI安全工具部署在检测发生之后,主要用于告警摘要、加速调查和减轻分析师工作负担,本质上是提升响应效率。如果某类攻击行为根本不产生告警,这些工具就无从发挥作用。真正的问题在于检测架构本身——需要能够分析行为序列、识别未被预先定义的模式的模型,而非仅优化现有检测流程。
Q3:组织应该如何评估和改进自身的检测能力?
A:首先需要诚实评估当前检测策略的实际覆盖范围,重点关注早期侦察、隐蔽横向移动等传统工具容易遗漏的场景。其次要审视检测架构是否过度依赖单点事件匹配。在评估AI安全产品时,关键问题是:该系统是真正能检测规则无法捕捉的行为,还是只是让现有规则运行更高效?两者解决的是本质不同的问题。