安全团队被敦促采用AI助手进行威胁建模、钓鱼模拟和安全运营工作。然而，当提示词接近真实攻击行为时，许多主流企业级AI系统却无法支持这类看似”危险”的防御场景。这不是危言耸听——这是每一位安全从业者正在经历的日常。

我们不妨反思一个基本问题：AI安全的护栏，究竟是在保护谁？

当防御者被自己的武器库拒之门外

主流AI安全模型的设计逻辑是防止大规模滥用，而非区分授权的安全工作与恶意行为。这意味着，任何包含攻击特征的请求——无论其目的多么正当——都会触发过滤机制。

举一个真实的例子：红队成员需要构建钓鱼模拟场景来训练员工防范AI生成的高级钓鱼攻击，这本是企业安全意识培训的核心需求，却被AI安全护栏无情阻断。

渗透测试工程师需要获取概念验证代码来验证系统漏洞，同样会收到”抱歉，我无法协助”的回复。即使是安全研究人员想要分析某个漏洞的原理和利用方式，也常常碰壁。

这种困境并非个例。根据Cisco研究人员的分析，针对开源大语言模型的多轮提示攻击成功率平均达到60%，在特定评估条件下甚至高达92.78%。这些攻击不需要什么新奇的黑科技，攻击者只需有足够的耐心，将恶意意图分解为多个看似无害的请求即可。

而安全从业者面临的却是另一番景象：直接请求攻击技术会被拒绝，换个委婉的学术包装也许能获得部分指导，但这种不确定性让系统性的安全研究变得极为困难。

攻击者的”自由”与防御者的”枷锁”

威胁行为者根本不受这些约束。他们可以自由使用越狱模型、本地部署的开源替代品，或者专门构建的恶意工具。WormGPT在2023年被关闭后，于2024年以全新姿态重现——基于Grok和Mixtral等主流模型，通过越狱提示和系统提示词操纵构建的变体在地下论坛泛滥。这些变体不需要从零训练模型，只需对提示词进行微调和组合，门槛之低已经接近”工业化生产”。

Gartner的多项研究表明，AI已经使钓鱼和社会工程攻击的成本降低了95%以上，让几乎任何有预算和意图的人都能发起高级AI驱动的攻击。2021年Black Hat USA的研究更是证明，AI生成的鱼叉式钓鱼邮件比人工编写的具有更高的点击率。

讽刺的是，当攻击者用AI批量生成钓鱼邮件时，防御者却连用AI生成训练样本都要经过层层审批。这种荒诞的对比，折射出当前AI安全框架的根本性缺陷。

被制造出来的盲区

这种不对称带来的是真实可感的操作困难。

企业需要真实的钓鱼模拟来训练员工应对日益复杂的AI生成攻击，但创建这些场景往往需要AI辅助，而安全护栏会常规性地阻止这类请求。安全意识培训本就难以跟上攻击技术的演变——年度或季度培训根本无法匹配每月都在进化的钓鱼技术。

学术和行业研究人员面临不一致的限制。AI在评估安全相关任务的伦理含义时表现出不一致性，有时会拒绝生成被认定为不道德的代码，却在另一种表述下产生功能相似的输出。这种不可预测性使系统性研究变得困难，迫使研究人员将时间浪费在提示词工程而非安全分析上。

即使安全专业人员最终获得了有用的输出，质量也可能参差不齐。有评估显示，ChatGPT在首次尝试时仅能从21个程序中生成5个安全程序。更令人困惑的是：AI拒绝编写漏洞利用代码，却能轻松生成存在漏洞的代码——这在道德上是否自洽？

红队和渗透测试越来越依赖AI辅助进行 reconnaissance、漏洞分析和报告生成。但当AI安全措施阻止安全工具输出概念验证演示时，测试覆盖率就会受到影响。企业可能因为AI辅助安全工具被过度限制而错过关键漏洞。

真实世界的不对称

这个问题并非理论推导。攻击者已经实现了可规模化的AI攻击能力。2024年的学术研究发现，AI生成的钓鱼邮件在点击率上显著优于人工编写的对照组。2025年8月，微软检测到了一次AI混淆的钓鱼活动——攻击者很可能使用LLM生成复杂的SVG代码来躲避检测。这些攻击已经是进行时。

相比之下，防御者需要能够快速探索新兴攻击变体并跨环境验证检测规则的能力。这种能力在理论上存在，但由于护栏限制，实际上参差不齐。

更深层的问题在于，攻击者已经将绕过技术产业化。EchoGram攻击技术识别出能够改变护栏决策的”翻转令牌”，且效果会叠加——精心选择的令牌序列可以完全逆转分类器的判决，让恶意内容看起来安全，或向安全团队灌入大量误报。

CISO的两难困境

对于安全领导者而言，这种不对称带来了几个战略性挑战。

当威胁行为者展示AI驱动的攻击能力，而防御团队无法合法或实际复制这些能力进行测试，组织就无法准确评估自身暴露程度或衡量应对快速演变威胁的准备程度。员工安全意识计划的有效性也会下降——如果防御者无法轻松生成反映当前威胁的模拟内容，培训就始终聚焦于昨天的攻击。

当学术和行业研究人员面临攻击者轻易绕过的限制时，安全社区就会失去对新兴威胁的洞察。InformDefensive策略的研究受到阻碍，而攻击能力却在不受限制地发展。

组织变得依赖AI提供商来决定什么是合法的安全使用。当这些判定不一致、主观或过于保守时，防御能力就会受到影响。攻击者通过越狱、本地部署或地下市场访问未审查的AI。防御者必须应对审批流程、服务条款和不可预测的拒绝。这种摩擦在很大程度上是单方面的。

需要改变什么

关键不是放弃AI安全，而是设计能够考虑防御用例的安全措施。

超越基于内容的过滤，AI系统可以支持对具有明确授权的合法安全专业人员进行身份验证。OpenAI最近宣布的”可信访问计划”代表了这方面的第一步，尽管实施细节至关重要。

安全专业人员应该能够声明预期用途——如授权的渗透测试、批准的培训或学术研究——并进行验证。这将评估从”什么”转向”谁”和”为什么”。自动恶意软件分析平台如Hybrid-Analysis之前已经为研究人员账户使用了类似的审查机制。

为安全团队构建专用工具可以在受控环境中提供必要的功能。想象一下用于红队的专用AI实例、内置AI辅助的钓鱼模拟平台，或具有适当护栏和审计跟踪的安全研究沙箱。

安全培训应该区分有害意图和合法的安全工作。当前实施经常无法做到这一点，无论上下文如何，都将所有进攻性安全内容请求视为等同。

最终目标不是无限制的AI访问，而是增强而非削弱防御能力的安全措施。安全是关于管理不对称。当护栏扩大进攻与防守之间的差距时，它们就会破坏安全性，无论意图如何。

向前推进

当前的轨迹越来越不利于防御者。随着AI能力的进步，攻击者能够完成的事情与防御者能够合法和实际访问的内容之间的差距将会扩大，除非刻意解决。

这需要AI提供商、安全研究人员和 enterprise安全团队之间的合作，开发能够防止滥用的安全框架，同时不妨碍防御能力。这意味着要接受完美内容过滤是不可能的，并转向基于授权的模型，验证合法使用，而不是试图从提示词推断意图。

最重要的是，需要认识到在授权下运营的安全专业人员不是这些系统应该针对的威胁模型。当AI拒绝帮助构建授权训练的钓鱼模拟，但攻击者几乎无摩擦地大规模生成令人信服的钓鱼内容时，安全措施已经失败了其核心目的。

AI安全应该减少伤害。现在，在安全领域，它正在制造盲区，让除了攻击者之外的所有人都更不安全。

也许，我们该重新思考：AI安全护栏的真正目的，究竟是保护世界免受AI滥用，还是在保护AI公司免于责任的同时，实际上削弱了真正需要它的人？