全程無人干預！這支小分隊，讓智能體在騰訊云黑客松決賽自己答題，贏了6萬

智東西
作者 陳佳
編輯 程茜

智東西4月27日報道，4月25日，第二屆騰訊云黑客松智能滲透挑戰賽決賽收官，這是國內首個智能體安全攻防賽。和以往真人上手敲代碼、挖漏洞的比賽不同，這場比賽的玩法是，參賽隊伍需基于國內外的大語言模型開發一個原創AI智能體，全程無人工干預，讓AI自動在云端虛擬靶場探測漏洞、闖關滲透、奪取通關Flag。

本次賽事設置四大階梯解鎖賽區，賽題從基礎漏洞挖掘到企業內網高階滲透逐層進階，賽事方結合通關得分與攻防綜合表現劃定最終排名。決賽共有10支隊伍入圍，最終由來自綠盟科技的“ai小分隊”拿下總冠軍及6萬元冠軍獎金，天翼安全、京東科技、清華大學等企業及高校隊伍位列其后。

▲第二屆騰訊云黑客松智能滲透挑戰賽決賽頒獎，來自綠盟科技的冠軍戰隊獲6萬元獎金

整場賽事最讓人意外的，不是高難度攻防關卡難住選手，而是一道在人類看來簡單到“離譜”的密碼題，把全場所有AI戰隊集體“干熄火”，就連冠軍戰隊也被硬控兩天，到比賽結束都未能破解。

這道題沒有復雜加密，通關密碼就是一串簡單字符“Ftp@2026”。可參賽AI背后的大模型訓練數據截止到2023年，這讓AI們被困在了“時間認知繭房”里面。即在AI的認知里世界只有2023年，壓根不認識2026這個未來年份，只會反復循環嘗試老舊年份密碼，怎么都繞不出來。

▲騰訊安全沙龍分享現場

騰訊安全云鼎實驗室攻防負責人李鑫說，比賽前期的題目參賽選手完成得都特別快，原本以為這場為期五天的賽事很快就能順利收官、全程沒有阻礙，沒想到偏偏就是這一道題把所有參賽團隊都難住了。

本屆賽事共吸引610支戰隊、1345名安全研究者與開發者報名，晉級決賽的十強既有綠盟科技、天翼安全、京東科技等企業安全團隊，也有清華大學等高校及個人開發者。更讓人驚喜的是，10后新生代已經開始嶄露頭角，多位初、高中生殺入賽場同臺競技。

決賽當日下午，騰訊安全云鼎實驗室攻防負責人李鑫、騰訊安全入侵應急響應組負責人張迅迪、騰訊云安全總經理兼云頂實驗室首席架構師李濱，與冠軍戰隊一同討論了智能體時代的安全攻防戰，并就大小模型協同架構、AI安全能力邊界、安全防御邏輯重構等議題深入分享了各自的觀點。

關于網絡安全防御的本質，李鑫告訴智東西，沒有絕對安全，防御某種程度上只是心理安慰。攻防博弈的核心是成本，過去攻方以極小成本碾壓防御，但AI時代防御端借技術平權進步更快，攻擊也變得更隱蔽。李鑫認為，未來的出路在于搭建“AI對抗AI”的安全免疫系統，讓系統自主識別、修復攻擊，告別傳統人工打補丁模式。

▲騰訊安全入侵應急響應組負責人張迅迪（左）、騰訊安全云鼎實驗室攻防負責人李鑫（中）、騰訊云安全總經理兼云頂實驗室首席架構師李濱（右）

一、冠軍靠三層架構與Harness框架奪冠，大小模型協同才是AI攻防的真實解法

決賽現場，十強戰隊圍繞賽事滲透測試方案展開路演，依次展示各自的智能體設計與實現思路。其中，來自綠盟科技的“ai小分隊”憑借領先的智能體架構設計與Harness框架理念脫穎而出。

▲第二屆騰訊云黑客松智能滲透挑戰賽決賽現場

在比賽實戰解題環節，“ai小分隊”依托三層架構底座、Manager全局調度、多Solver協同、Harness長任務保障的思路，打造出適配賽事與真實滲透場景的作戰方案。該戰隊于隔離云端靶場內接連攻克四大賽區關卡、斬獲高分，拿下本次賽事冠軍。

李濱總結了AI攻防的最優架構邏輯：通用大模型、垂類模型與智能體三者并非替代關系，而是協同分工。智能體承擔核心調度與流程推進的中樞作用，通用大模型負責全局戰略規劃與方向把控，垂類模型則針對細分場景提供低成本、高效率的定制化解法。

他認為，盲目追求超大參數模型并不現實，安全攻防的核心約束始終只有三個：時間、效率、成本，在這三重條件下，大小模型融合兼用才是行業最終的發展方向。

從本屆參賽選手的設計方案來看，十強戰隊底層架構大體一致，普遍采用通用智能體的ReAct架構，差異主要集中在上層的任務編排邏輯與工具調用策略上。

本次智能滲透挑戰賽中，各參賽團隊Token消耗成本在7000元至1萬元區間。李鑫解釋，智能滲透進攻本身屬于高消耗任務，不同于常規日志分析、樣本研判等安全防御工作，AI進攻需要全程掃描靶場環境、捕捉各類細微線索，伴隨大量試錯和無效探測。滲透測試就像“翻垃圾箱”，需要從龐雜信息里篩選碎片、拼湊突破路徑，因此賽事里負責進攻突破的AI智能體，大模型調用量與Token成本，遠高于常規安全防御類作業。

二、所謂防御只是一種心理安慰？要搭建一套健壯的安全免疫系統

關于網絡安全防御話題，李鑫認為，網絡不存在絕對安全，所謂防御在某種程度上，只是一種心理安慰。

他向智東西解釋了這句話背后的邏輯：安全攻防的本質是一場博弈，而這場博弈最關鍵的變量是成本。攻防雙方的成本天生不對等，且這種成本邊界還在不斷變化。

過去，攻防失衡的情況非常嚴重。由于防御人才短缺、防御體系本身存在短板，攻擊方往往可以用極小的成本，輕易對防御體系形成碾壓性突破。

但進入AI時代后，局勢已經徹底改變。李鑫說，技術平權趨勢開始顯現，防御端借助AI能力，整體防護提升的速度非常迅猛，整個攻防格局正在被重新改寫。攻擊方雖然也在借助AI升級手段，但防御側的進步速度整體快于攻擊側。

在這樣的新博弈關系下，企業和機構的防御投入邏輯也會隨之改變，不管是硬件投入還是各類安全資源配置，都和過去完全不同，未來的防御體系會更加依賴算力支撐。

從攻擊視角來看，李鑫認為，AI時代的攻擊行為會越來越隱蔽。過去人工開展攻擊，會帶有個人行為習慣、思維局限和操作破綻，但在AI加持下，只需一條提示詞、一條簡單指令，就能完成高度隱蔽的攻擊全程，很難被察覺。

李鑫告訴智東西，他和團隊近期一直在觀察研判攻防格局的演變，研討如何真正實現“AI防AI”，落地“AI對抗AI”的安全防御體系。他們此前觀察到，某智能體在遭遇攻擊時，能夠根據日志和環境信息自主判斷被攻擊、定位風險，并自行完成修復。李鑫認為，如今的AI和智能體，已經具備初步的自愈能力和免疫能力。

這也意味著，未來的安全防護，會從過去人工打補丁、人工處置的模式，全面轉向系統自我防御。李鑫說，只要搭建一套健壯的安全免疫系統，系統就能自動識別攻擊、自動完成防御對抗。

這是安全思維層面的根本性轉變。李鑫坦言，傳統的攻防思路在AI快速迭代的時代已經越來越局限，他們也希望多和白帽子、行業從業者線下交流碰撞，吸納新生代從業者的不同視角，共同探索AI安全的全新方向。

三、AI帶來三大安全本質變化：漏洞激增、信任重構、防護邏輯倒置

李濱梳理了AI浪潮帶來的三項本質性安全變化。其一，AI大幅提升了軟硬件研發效率，海量新增代碼同步帶來了指數級增長的基礎缺陷，防御方需要處理的安全問題相比以往至少增加十倍。與此同時，傳統供應鏈漏洞持續存在，而通過提示詞和上下文注入植入惡意指令的新型攻擊門檻大幅降低，隱蔽性也更強。

其二，智能體全面介入生產流程，打破了原有的身份信任模型。當用戶以個人身份和權限授權智能體訪問內部資源后，一旦出現操作失誤或被惡意操控，就會直接以使用者身份執行刪除文件、篡改數據等操作。多人與多智能體混合協作的場景下，權限混用、身份模擬、Token濫用等問題難以界定，身份判定將成為AI時代最棘手的底層難題。

其三，AI打破了系統間的隔離邊界，徹底顛覆了傳統安全防護邏輯，只要信息能夠進入大模型上下文，惡意指令就可以跨系統、跨權限執行。當前多數智能體缺乏提示詞安全校驗和違規指令識別機制，傳統層層設防的外部防護思路面臨根本性挑戰，防護方向不再只是抵御外部入侵，還要防范內部橫向滲透與智能體之間的互信風險。

張迅迪則從應對側補充了防御思路。針對AI攻擊的自動化特點，可強化二次認證機制阻斷連續推進，同時部署欺騙防御手段，對掃描和異常請求返回虛假信息，為防守研判爭取時間。他同時強調，精細化權限管控、核心數據加密等傳統基礎防御在AI時代反而需要做得更細、更快，夯實基礎防御疊加AI能力，才能有效應對攻擊速度快、泛化能力強的新型威脅。

結語：AI重塑安全攻防體系，行業邁向“AI對AI”的長期博弈

從這場比賽的結果來看，AI在安全攻防領域的實戰能力已經超出了大家的預期。原本設計供選手鏖戰五天的賽程，頭部戰隊兩天內基本收尾；半年前被視為高難度的題目，隨著模型迭代和開源生態的成熟，攻克難度下降。

但本次比賽中AI們沒能破解的那道“Ftp@2026”密碼題，也同樣清晰地劃出了當下智能體的能力邊界。AI的短板不在算力，不在架構，而在于對真實世界的理解與對齊。一旦脫離訓練數據的時間范圍，再強的推理能力也可能陷入低級循環。這種認知缺口，在依賴環境感知與現實信息的安全攻防場景中，會被放大。

另一方面，從本次賽事也能觀察到行業發展的潛在趨勢。通用大模型、垂類模型與智能體三者協同的架構體系，或將成為AI智能體安全落地的方向。攻防對抗模式正逐步從“人對人”向“AI對AI”演變，而支撐這場演變持續推進的核心變量，是時間、效率與成本的權衡。