當前關於人工智慧安全的討論,大多聚焦於AI模型本身可能出現的問題。然而,更為緊迫的挑戰在於:我們現有的檢測系統仍存在大量盲區,而旁路攻擊(side-channel attacks)正在將這一盲區暴露得愈發清晰。
旁路攻擊並不針對軟體代碼本身,而是通過功耗、電磁輻射、處理時間等物理因素來獲取資訊或干擾程序執行。攻擊者可以藉助硬體偶然產生的電磁信號,竊取加密密鑰等敏感數據。
近期研究表明,外部觀察者僅需分析加密流量的模式,無需解密內容、無需檢查數據包,僅憑流量結構、時序和序列特徵,就能推斷出一次AI交互的主題。這些信號客觀存在,但它們游離於內容安全工具的檢測範圍之外。
這不僅僅是一種新型攻擊技術,更是檢測架構設計存在深層缺陷的有力證明。我們構建的安全體系以匹配威脅指標為核心,而如今,越來越多的關鍵信號根本不以任何指標的形式呈現。
規則的局限
過去二十年間,安全檢測始終以規則為核心驅動力。特徵簽名、閾值設定、已知模式識別和異常基線,共同構成了安全運營的基礎框架。行業在持續優化這一體系——更多規則、更精準的規則,乃至藉助AI系統更快速地編寫和調優規則。
然而,這一切都無法突破底層邏輯的根本制約:規則的運作前提,是存在可供匹配的離散信號——已知特徵、可識別偏差或被突破的邊界。
旁路攻擊恰恰不提供這類信號。許多現代入侵行為同樣如此。攻擊者藉助加密信道、合法工具或AI輔助工作流在環境中穿行,每一步操作在單獨審視時都是合規的,始終不會觸發任何規則可以評估的條件。只有將這些步驟放在時間維度上加以關聯,異常模式才會浮現。
這就是檢測盲區的本質——它不是覆蓋範圍不足的問題,而是架構層面的根本性局限。有一整類攻擊行為從不觸發任何可匹配的信號,因此也就永遠不會產生任何告警。
盲區正在擴大
這一盲區帶來的現實後果十分直接:在某些場景下,攻擊者已在環境中活動,安全團隊卻毫無察覺——收不到任何告警,甚至連低置信度的提示都沒有,更談不上任何可供調查的線索。
旁路攻擊是其中一個典型案例。數據就在那裡,但它隱藏在時序、序列和交互模式之中,而傳統工具根本沒有能力解讀這類信號。低慢滲透、離地攻擊(Living off the Land)以及能夠隨環境動態調整的AI輔助攻擊鏈,同樣面臨這一困境。
隨著各組織在業務運營和攻擊工具中大量引入AI,落入檢測盲區的活動比例只會持續上升。
與此同時,大多數安全投入仍集中於優化已覆蓋的領域——更快的規則生成、更精細的調優、更高效的告警分類。這些改進固然有價值,卻對那些根本不產生告警的攻擊面無濟於事。
AI被用在了錯誤的層面
目前,大量AI能力正在安全運營領域落地部署,在告警摘要生成、調查提速、減輕分析師工作負擔等方面發揮著切實價值。
然而,這些系統大多工作在檢測發生之後,其本質是提升響應效率,而非從根本上改變檢測的工作方式。這一區別至關重要。
如果某類攻擊行為根本不產生告警,那麼再強大的自動化、摘要生成或優先級排序能力,都無法將其呈現出來。旁路攻擊再次印證了這一點:信號是存在的,但它的表達形式既無法被基於規則的系統捕捉,也無法被事後響應型AI處理。對於那些通過合法操作、加密信道或漸進式推進展開的攻擊,同樣如此。
行業正在大力投資,讓檢測流程變得更高效;卻鮮少投入,去擴展檢測本身能夠觀測到的範圍。
行為,而非單點事件
要彌合這一盲區,需要一種全然不同的檢測思路——不再依賴預定義的威脅指標,也不再依賴人工編寫的規則。
安全團隊所需的信號其實已經存在:操作序列、系統間的關聯關係、行為的時序與演進方式,這些維度共同揭示的意圖,是任何單一事件都無法呈現的。
頗為諷刺的是,那些使旁路攻擊成為有效手段的深度學習方法,同樣可以被用於識別流量模式、判斷其中是否潛藏攻擊。
攻擊者通過加密信道實施橫向移動,留下的痕跡並非流量內容,而是訪問模式隨時間的演變方式。旁路攻擊泄露的不是數據本身,而是數據的結構。這一原理同樣適用於各類現代攻擊技術。
要讀取這類信號,檢測系統必須建立在對行為序列的分析之上,而非針對孤立事件的判斷。系統需要評估的是:一系列活動是否符合相關系統在時間維度上的預期行為模式,而不僅僅是某個單一動作是否看起來異常。這與規則優化是截然不同的問題範疇,它需要能夠從結構化運營數據中學習、並識別出從未被明確定義過的模式的模型。
對於正在評估AI安全投資的安全負責人而言,這是一個值得重點關注的區別:有些系統的價值在於提升現有檢測流程的效率,另一些系統則通過識別規則無法表達的行為,真正擴展了檢測的邊界。兩者都有其價值,但它們解決的是本質上不同的問題。
重新審視檢測能力
對大多數組織而言,第一步並非引入新工具,而是更準確地理解現有檢測策略的實際覆蓋邊界。
這需要對可見性進行一次誠實的評估——不只是"某個技術對應的規則是否存在",而是"在真實場景下,系統是否能夠可靠地檢測出它"。早期偵察活動、隱蔽的橫向移動、融入正常操作流中的異常行為,往往是盲區最集中的地方。
這還需要審視檢測本身的運作方式。如果整個安全體系都建立在匹配單點事件或預定義指標的基礎上,那麼這一局限就是結構性的,單純提升規則質量無法解決根本問題。
在評估AI驅動的安全能力時,核心問題其實很簡單:這個系統能夠檢測出規則無法捕捉的行為,還是只是讓基於規則的檢測運行得更高效?釐清這一區別,是做出明智投資決策的關鍵前提。
彌合檢測盲區的價值,遠不止於壓縮響應時間,它真正改變的是組織感知異常的時機。
更早的檢測意味著更短的駐留時間、更有限的事件影響範圍,以及在攻擊者達成目標之前採取行動的機會。它還能幫助組織建立對真實風險敞口更準確的認知——許多組織因其工具在受限檢測模型下表現良好,而對自身的可見性產生了虛假的自信。
旁路攻擊本身就是一個有價值的信號。它證明了有意義的資訊可以存在於傳統系統設計邊界之外,更重要的是,它揭示出有多少此類資訊正在被我們忽視。
AI並沒有製造這個問題,它只是將這個問題暴露了出來。
真正能夠適應這一變化的組織,不會只是在現有檢測模型內部跑得更快,而是從根本上擴展檢測所能觀測到的範圍。
Q&A
Q1:什麼是旁路攻擊?它為什麼能繞過傳統安全檢測?
A:旁路攻擊不針對軟體代碼,而是通過功耗、電磁輻射、處理時間等物理因素獲取資訊。它之所以能繞過傳統檢測,是因為傳統安全工具依賴規則匹配已知特徵或異常指標,而旁路攻擊產生的信號隱藏在流量時序、結構和交互模式中,沒有可供規則匹配的離散信號,因此不會觸發任何告警。
Q2:現有的AI安全工具為什麼不能解決檢測盲區問題?
A:目前大多數AI安全工具部署在檢測發生之後,主要用於告警摘要、加速調查和減輕分析師工作負擔,本質上是提升響應效率。如果某類攻擊行為根本不產生告警,這些工具就無從發揮作用。真正的問題在於檢測架構本身——需要能夠分析行為序列、識別未被預先定義的模式的模型,而非僅優化現有檢測流程。
Q3:組織應該如何評估和改進自身的檢測能力?
A:首先需要誠實評估當前檢測策略的實際覆蓋範圍,重點關注早期偵察、隱蔽橫向移動等傳統工具容易遺漏的場景。其次要審視檢測架構是否過度依賴單點事件匹配。在評估AI安全產品時,關鍵問題是:該系統是真正能檢測規則無法捕捉的行為,還是只是讓現有規則運行更高效?兩者解決的是本質不同的問題。
