五眼联盟——美、英、加、澳、新五国网络安全机构——在2026年6月罕见地坐到同一张桌子上,联合发布了一份措辞异常严厉的预警。矛头直指即将到来的AI模型,包括OpenAI尚未公开的GPT-5.5-Cyber以及Anthropic代号Mythos的项目。他们的核心判断很直接:编写一段能攻破企业内网的复杂攻击代码,曾经需要一支专业团队熬夜几周;接下来,可能只需要一个提示词加上几分钟等待。门槛被踏平的速度,比多数公司的安全预算审批还快。
更棘手的是自动化。具备智能体能力的AI可以7×24小时不间断扫描整个互联网的暴露面,找到一个漏洞后自主规划攻击链、横向移动、提取数据,整个过程几乎不需要人为干预。这意味着传统的"发现—补丁"窗口期从过去的数周被压缩到几小时甚至几分钟,企业安全团队连喝杯咖啡的时间都被剥夺了。与此同时,AI驱动的超个性化钓鱼诈骗已在亚太地区大规模铺开——诈骗者利用大模型分析目标对象的社交媒体足迹,生成语气、措辞、上下文都精准对位的诱饵邮件,人眼几乎无法识别。印度2026年初的勒索软件事件同比增长165%,这不是孤例,而是新常态的预告片。
五眼联盟的建议分两层,听起来朴素但值得立刻执行:企业端必须部署同样具备自动化能力的防御型AI,用机器的速度对抗机器,否则就是在用算盘打空战;个人端则没有拖延的余地——开启多因素认证、删除不再使用的旧账户、对任何带"紧急"二字的邮件保持生理级别的警惕。这场博弈里没有旁观席,普通人既是防线最薄弱的一环,也是被直接瞄准的目标。双重认证今天就该开,别再拖到下一次新闻头条写着自己名字的那天。

