關(guān)鍵詞：網(wǎng)絡(luò)戰(zhàn)、AI網(wǎng)絡(luò)安全、代理式AI、自動(dòng)化網(wǎng)絡(luò)防御

AI TTX 2.0(人工智能桌面推演 2.0)于2026年4月27日在五角大樓舉行，是一場(chǎng)由美國(guó)陸軍主導(dǎo)的高級(jí)網(wǎng)絡(luò)防御戰(zhàn)略級(jí)演習(xí)。該推演由美國(guó)陸軍部長(zhǎng)首席網(wǎng)絡(luò)顧問辦公室主辦，美國(guó)特別競(jìng)爭(zhēng)研究項(xiàng)目(SCSP)提供場(chǎng)景設(shè)計(jì)支持，美國(guó)網(wǎng)絡(luò)司令部、陸軍網(wǎng)絡(luò)司令部及西點(diǎn)軍校陸軍網(wǎng)絡(luò)研究所等軍方機(jī)構(gòu)共同參與，同時(shí)邀請(qǐng)了亞馬遜云科技(AWS)、谷歌、微軟、OpenAI、CrowdStrike和Palo Alto Networks等14家商業(yè)科技企業(yè)。推演設(shè)定于2027年某假想?yún)^(qū)域的危機(jī)場(chǎng)景，旨在執(zhí)行針對(duì)人工智能高頻率、自適應(yīng)攻擊的防線壓力測(cè)試。在場(chǎng)景中，紅方利用新型AI工具發(fā)動(dòng)了連續(xù)的網(wǎng)絡(luò)攻擊，能夠快速探測(cè)漏洞并不斷適應(yīng)防御動(dòng)態(tài)，而藍(lán)方則依賴現(xiàn)有的網(wǎng)絡(luò)防御模式進(jìn)行應(yīng)對(duì)。

推演結(jié)果暴露出美軍現(xiàn)有網(wǎng)絡(luò)安全運(yùn)營(yíng)模式在實(shí)戰(zhàn)中的弱點(diǎn)。在當(dāng)前的防御體系下，盡管藍(lán)方可以利用人工智能進(jìn)行入侵檢測(cè)并向安全中心上報(bào)異常，但后續(xù)的漏洞修補(bǔ)、響應(yīng)以及物理隔離等操作仍依賴網(wǎng)安工程師進(jìn)行手動(dòng)分析與執(zhí)行。面對(duì)紅方AI算法帶來的高頻打擊，這種依賴人工閉環(huán)的防御響應(yīng)速度已經(jīng)被進(jìn)攻方的“機(jī)器速度”超越。

圖 1 美軍于五角大樓召開的AI TTX 2.0演習(xí)

基于上述痛點(diǎn)，此次演習(xí)為美軍重塑機(jī)器速度時(shí)代的數(shù)字化防線提供了明確的戰(zhàn)略轉(zhuǎn)型思路。美軍正加速推動(dòng)網(wǎng)絡(luò)防御體系中的AI從“僅檢測(cè)”向“代理式人工智能”(Agentic AI)轉(zhuǎn)型，使AI在網(wǎng)絡(luò)沖突中能夠自主地響應(yīng)進(jìn)攻并修補(bǔ)漏洞。同時(shí)，美軍還提出建立“風(fēng)險(xiǎn)接受連續(xù)體”(Risk Acceptance Continuum)政策框架，以降低AI在網(wǎng)絡(luò)防御體系中的時(shí)空風(fēng)險(xiǎn)。該框架將根據(jù)不同的沖突程度為AI設(shè)定差異化的網(wǎng)絡(luò)安全監(jiān)督閾值，從而在戰(zhàn)時(shí)合法合規(guī)地授權(quán)AI智能體跨越人工審批節(jié)點(diǎn)，實(shí)施自主的網(wǎng)絡(luò)防御行動(dòng)。

美軍現(xiàn)行“人類在環(huán)”模式的失效

在傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心中，防守方普遍僅使用AI進(jìn)行異常流量與入侵檢測(cè)，在生成告警后交由網(wǎng)安工程師執(zhí)行漏洞修補(bǔ)、規(guī)則更新與響應(yīng)操作。然而，隨著網(wǎng)絡(luò)攻擊技術(shù)的演進(jìn)，全球網(wǎng)絡(luò)攻擊的平均漏洞利用時(shí)間已大幅壓縮，在AI TTX 2.0演習(xí)設(shè)定的2027年場(chǎng)景中進(jìn)一步縮短。在面臨大量并發(fā)探測(cè)與自適應(yīng)攻擊的壓力時(shí)，人類工程師的反應(yīng)時(shí)間、決策周期以及工單流轉(zhuǎn)速度難以匹配進(jìn)攻方基于神經(jīng)網(wǎng)絡(luò)與大型語(yǔ)言模型的攻擊頻率。通過人力彌補(bǔ)速度差距已不現(xiàn)實(shí)，美軍現(xiàn)有的網(wǎng)絡(luò)防御“人類在環(huán)”循環(huán)也將不再有效。

目前AI驅(qū)動(dòng)的進(jìn)攻工具已經(jīng)跨越了輔助生成代碼的階段，演進(jìn)為具備環(huán)境推理、多步規(guī)劃和零日漏洞挖掘驗(yàn)證能力的自主智能體。在自動(dòng)化漏洞利用生成方面，現(xiàn)有的最新一代工具展現(xiàn)出了較高的成功率。其中，基于多智能體框架的Vulnsage系統(tǒng)在現(xiàn)實(shí)軟件供應(yīng)鏈場(chǎng)景中成功發(fā)掘并驗(yàn)證了146個(gè)零日漏洞，其利用成功率比傳統(tǒng)工具高出34.64%。前沿基礎(chǔ)模型如Claude Mythos在未受外部干預(yù)的沙盒測(cè)試中，自主發(fā)現(xiàn)了瀏覽器中的大量零日漏洞，甚至包含了底層系統(tǒng)中潛伏了27年的深層缺陷，并展示了獨(dú)立構(gòu)建漏洞利用鏈的能力。在網(wǎng)絡(luò)滲透與橫向移動(dòng)效率上，進(jìn)攻方的AI也能夠通過間接提示詞注入等技術(shù)，劫持防守方內(nèi)部的合法AI代理作為跳板，繞過傳統(tǒng)防火墻實(shí)施特權(quán)濫用。通過結(jié)合異構(gòu)圖神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)拓?fù)涞淖顑?yōu)路徑預(yù)測(cè)，進(jìn)攻方能夠?qū)F(xiàn)代企業(yè)網(wǎng)絡(luò)的突破時(shí)間壓縮至數(shù)十分鐘。由于搭載前沿大模型的AI智能體執(zhí)行單項(xiàng)網(wǎng)絡(luò)挑戰(zhàn)的計(jì)算成本較小，進(jìn)攻方能夠以較低成本發(fā)動(dòng)并發(fā)式的飽和打擊，令依賴單線程關(guān)聯(lián)分析的傳統(tǒng)防御系統(tǒng)癱瘓。

圖 2 AI驅(qū)動(dòng)的漏洞利用工具Vulnsage概述

就演習(xí)結(jié)果來說，面對(duì)進(jìn)攻方在偵察與漏洞驗(yàn)證上的速度優(yōu)勢(shì)，美軍的網(wǎng)絡(luò)防御體系被迫從AI檢測(cè)向AI代理式響應(yīng)轉(zhuǎn)變。部署代理式AI完成自動(dòng)隔離與阻斷成為美軍更新網(wǎng)絡(luò)防線的重要選項(xiàng)。在面對(duì)同樣的進(jìn)攻情景時(shí)，美軍期望部署在云原生運(yùn)行時(shí)的AI模型上下文協(xié)議服務(wù)器能在識(shí)別攻擊的較短時(shí)間內(nèi)自動(dòng)生成安全加固策略并凍結(jié)高危行為。事件分類、調(diào)查與微隔離的執(zhí)行權(quán)限將被交由防御智能體，以期在較短的時(shí)間窗口內(nèi)爭(zhēng)奪網(wǎng)絡(luò)控制權(quán)。

美軍戰(zhàn)時(shí)“AI解綁”帶來的新型攻擊面評(píng)估

在AI TTX 2.0中，美國(guó)軍方提出建立“風(fēng)險(xiǎn)接受連續(xù)體”的策略框架以控制AI解綁帶來的風(fēng)險(xiǎn)。該框架的核心思路是通過界定進(jìn)攻方網(wǎng)絡(luò)攻擊的沖突時(shí)期和程度，并對(duì)應(yīng)改變防守方對(duì)于AI解綁帶來的風(fēng)險(xiǎn)的接受程度。在和平時(shí)期，為了避免AI誤操作導(dǎo)致己方網(wǎng)絡(luò)癱瘓，網(wǎng)安工程師必須保留主要控制權(quán);但在戰(zhàn)時(shí)，網(wǎng)絡(luò)防線被進(jìn)攻方AI快速突破的安全威脅，超過了防守方自身AI可能產(chǎn)生誤操作的技術(shù)風(fēng)險(xiǎn)。因而戰(zhàn)時(shí)需要對(duì)AI進(jìn)行權(quán)限釋放，允許代理式AI跨越人工審批節(jié)點(diǎn)，自主執(zhí)行高風(fēng)險(xiǎn)的戰(zhàn)術(shù)響應(yīng)。

然而這種將響應(yīng)權(quán)限下放給算法的做法，在技術(shù)層面上也擴(kuò)大了系統(tǒng)的風(fēng)險(xiǎn)敞口。代理系統(tǒng)擁有長(zhǎng)期記憶、API調(diào)用權(quán)限和基礎(chǔ)設(shè)施控制權(quán)，其失效模式比傳統(tǒng)的靜態(tài)軟件更為復(fù)雜。權(quán)限釋放后的代理式AI面臨著顯著的技術(shù)脆弱性，主要包括代理目標(biāo)劫持和工具濫用。當(dāng)代理式AI在網(wǎng)絡(luò)空間中執(zhí)行巡邏和防御任務(wù)時(shí)，需要持續(xù)處理外部數(shù)據(jù)流。如果進(jìn)攻方采用數(shù)據(jù)投毒或植入對(duì)抗性樣本，防守方的AI可能會(huì)產(chǎn)生邏輯偏移。攻擊者可以在流量日志或惡意軟件有效載荷中嵌入隱藏的提示注入指令。當(dāng)藍(lán)方AI讀取這些日志進(jìn)行分析時(shí)，這些指令可能會(huì)修改AI的初始防御目標(biāo)，使其調(diào)用已授權(quán)的高權(quán)限工具關(guān)閉防守方的安全策略，或?qū)⒓悍胶诵馁Y產(chǎn)標(biāo)記為威脅并執(zhí)行隔離。這種通過操縱輸入數(shù)據(jù)來實(shí)現(xiàn)工具濫用與目標(biāo)劫持的技術(shù)，是權(quán)限釋放后需要應(yīng)對(duì)的主要技術(shù)風(fēng)險(xiǎn)。

如果進(jìn)一步允許高權(quán)限的AI進(jìn)行深度的網(wǎng)絡(luò)響應(yīng)與隔離，其實(shí)際效能與風(fēng)險(xiǎn)同時(shí)取決于模型本身的推理能力及其調(diào)用的工具鏈。近期的前沿模型測(cè)試表明，AI具備識(shí)別并利用主流操作系統(tǒng)漏洞的能力，并能將多個(gè)漏洞組合成利用序列。這種自動(dòng)化操作通常依賴于模型上下文協(xié)議(MCP)等標(biāo)準(zhǔn)，作為AI模型與外部網(wǎng)絡(luò)掃描器或漏洞修補(bǔ)框架之間的接口。在賦予AI代理自主防御權(quán)限時(shí)，如果底層編排邏輯存在缺陷，或外部API接口的鑒權(quán)機(jī)制被繞過，自動(dòng)化工具調(diào)用將增加系統(tǒng)的不可控性。AI可以在短時(shí)間內(nèi)執(zhí)行大量腳本，一旦其邏輯產(chǎn)生偏差，響應(yīng)措施可能會(huì)錯(cuò)誤地作用于中立基礎(chǔ)設(shè)施;或者因代碼漏洞導(dǎo)致反向連接，使進(jìn)攻方能夠通過系統(tǒng)框架的后門獲取高級(jí)控制臺(tái)權(quán)限。

美軍后續(xù)動(dòng)向

AI TTX 2.0推演結(jié)束后，美國(guó)多個(gè)軍事機(jī)構(gòu)、政府部門與相關(guān)企業(yè)啟動(dòng)了防線重構(gòu)的落地項(xiàng)目。美國(guó)陸軍加速推進(jìn)“陸軍人工智能快速實(shí)施項(xiàng)目”(Project ARIA)，其項(xiàng)目中的“黑隊(duì)”(Team Black)攜手商業(yè)科技企業(yè)構(gòu)建“模型軍械庫(kù)”，向戰(zhàn)術(shù)邊緣下發(fā)定制的AI能力;“灰隊(duì)”(Team Gray)與“黃石隊(duì)”(Team Yellowstone)則分別推進(jìn)規(guī)劃預(yù)算流程及后勤供應(yīng)鏈的智能化。在采辦層面，陸軍通過“FUZE”倡議重塑創(chuàng)新模式，注資7.5億美元以打破傳統(tǒng)的線性采購(gòu)周期，將AI工具的獲取與部署迭代壓縮至45天以內(nèi)，并計(jì)劃利用快速原型設(shè)計(jì)權(quán)限，在30到90天內(nèi)于特定網(wǎng)絡(luò)防御部隊(duì)中開展試點(diǎn)。此外，美國(guó)戰(zhàn)爭(zhēng)部正式批準(zhǔn)亞馬遜、谷歌、微軟、NVIDIA、OpenAI、SpaceX、Reflection和Oracle八家企業(yè)，將其前沿AI能力部署至處理機(jī)密數(shù)據(jù)的IL6和IL7網(wǎng)絡(luò)環(huán)境中，加速美軍全軍的智能化轉(zhuǎn)型。為匹配底層架構(gòu)的變遷，陸軍網(wǎng)絡(luò)司令部正基于演習(xí)教訓(xùn)，著手重新制定網(wǎng)絡(luò)戰(zhàn)條令。

圖 3 美國(guó)戰(zhàn)爭(zhēng)部最新發(fā)布的《機(jī)密網(wǎng)絡(luò)人工智能協(xié)議》

總結(jié)

美軍網(wǎng)絡(luò)防御的發(fā)展趨勢(shì)將指向代理化轉(zhuǎn)型。面對(duì)攻擊方在漏洞發(fā)現(xiàn)與攻擊路徑自適應(yīng)上展現(xiàn)的“機(jī)器速度”，傳統(tǒng)的“檢測(cè)-人工響應(yīng)”模式或被替代。美軍正加速推進(jìn)代理式網(wǎng)絡(luò)防御，推進(jìn)IL6/IL7機(jī)密網(wǎng)絡(luò)應(yīng)用，并考慮建立“風(fēng)險(xiǎn)接受連續(xù)體”框架，以在戰(zhàn)時(shí)突破“建議、審批隊(duì)列、執(zhí)行”的響應(yīng)邊界，賦予AI自主防御與隔離權(quán)限。

然而，客觀的滲透評(píng)估表明該轉(zhuǎn)型也存在系統(tǒng)性突破點(diǎn)。現(xiàn)階段，美軍網(wǎng)絡(luò)安全架構(gòu)嚴(yán)重受制于異構(gòu)網(wǎng)絡(luò)與遺留系統(tǒng)的底層脆弱性。未來，隨著高權(quán)限防御AI的實(shí)戰(zhàn)化，網(wǎng)絡(luò)滲透的核心節(jié)點(diǎn)將可能集中于：利用對(duì)抗性數(shù)據(jù)投毒實(shí)施代理目標(biāo)劫持、誘導(dǎo)工具鏈(如MCP協(xié)議)自動(dòng)化濫用，以及利用后量子算法破解持久化AI代理間的加密信任體系。在完善防欺騙框架前，這些脫離人類監(jiān)管的高度自主防御集群容易成為被敵方隱蔽接管的安全軟肋。(來源：北京藍(lán)德信息科技有限公司)

參考文獻(xiàn)

· ArXiv Preprint. Safety-aware AI in military systems: Evaluation frameworks for cyber resilience [R/OL]. (2026-04-15). https://arxiv.org/pdf/2604.05130.

· ExecutiveGov. Army convenes industry leaders for AI tabletop exercise focused on cyber defense [EB/OL]. (2026-04-29). https://www.executivegov.com/articles/army-ai-cyber-exercise-industry-leaders.

· DVIDS. AI TTX 2.0: U.S. Army Cyber Command tabletop exercise visual documentation [EB/OL]. (2026-05-01). https://www.dvidshub.net/image/9650344/ai-ttx-20.

· U.S. Army. Army convenes industry leaders for AI tabletop exercise focused on cyber defense [N/OL]. (2026-04-28). https://www.army.mil/article/292158/.

· U.S. Department of War. Classified networks and AI deployment agreements [R/OL]. (2026-04-30). https://www.war.gov/News/Releases/Release/Article/4475177/.

· Microsoft Azure. DoD Impact Level 6 (IL6) compliance offering [EB/OL]. (2026). https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-dod-il6.

· Let's Data Science. Army pushes AI across force, faces adoption hurdles [EB/OL]. (2026-05-04). https://letsdatascience.com/news/army-pushes-ai-across-force-faces-adoption-hurdles-04afcb06.

· Breaking Defense. Army plans fast follow-up to AI cyber wargame with industry officials [N/OL]. (2026-05-07). https://breakingdefense.com/2026/05/army-plans-fast-follow-up-to-ai-cyber-wargame-with-industry-officials/.

· ACL Anthology. The evolution of language models in high-stakes decision support [J/OL]. (2025). https://aclanthology.org/2025.acl-long.562.pdf.

· LessWrong. Over eight months of progress in two: Analyzing the mythos [EB/OL]. (2026-05-10). https://www.lesswrong.com/posts/siK3JL4S6o9EeT7Jf/.