RSAC 2025議題揭示全球網絡安全十大熱點

AI是RSAC 2025毫無爭議的主角。今年的投稿議題熱點絕大多數圍繞AI展開，從如何保護AI，到如何與AI協作，均成為探討焦點。本文將對這些趨勢進行深入分析。

2月14日消息，全球網絡安全年度盛會RSAC 2025將于4月28至5月1日期間在美國舊金山舉行。本屆大會以“多元聲音，共同社區”(Many Voices,One Community)為主題，旨在通過多元化的交流尋求共識，面對不斷變化的網絡安全挑戰，特別是AI帶來的技術跳脫式發展挑戰，共同構建一個開放協作的社區。

AI是RSAC 2025毫無爭議的主角。回顧2023年，AI相關投稿僅占RSA大會演講投稿的約5%。然而，當本屆大會開放議題征集通道時，AI已滲透至各個角落。在2800多份投稿中，超過40%直接涉及AI及其相關主題，如機器學習和智能體(Agent)。

大會的26個評審委員會均預料到會收到大量AI相關投稿，尤其是“AI與安全的交匯”主題的評審者，預計將看到大量關于AI治理、機器學習模型智能體需求，以及歐盟《AI法案》的投稿。因此，今年的投稿熱點無一例外圍繞AI展開，從如何保護AI，到如何與AI協作，均成為探討焦點。本文將對這些趨勢進行深入分析。

什么是AI智能體?

圍繞AI智能體化，許多投稿探討了人類與AI智能體共存的方式。一些投稿質疑AI智能體自主決策的影響及其可能帶來的不可預測后果。各行業的安全專家們分享了各自的見解，話題從AI驅動世界中的身份保護，到揭示黑客如何攻擊AI模型，再到如何在監管與創新之間取得平衡，十分廣泛。

很多人認識到，建立AI相關的安全防護措施勢在必行。如果說過去“軟件物料清單(SBOM)”備受關注，那么今年，“AI物料清單(AIBOM)”的出現，則承諾在AI研發過程中提供更高的透明度和安全性。

大模型炙手可熱，但是否帶來新風險?

部分投稿認為，大模型可以用于修補漏洞，或支持可擴展的AI基礎設施;但也有投稿警示，大模型可能被濫用于AI攻擊，例如生成惡意代碼或引發數據安全隱患。今年的投稿反映出，人們對大模型既充滿期待，又持謹慎態度。

較為審慎的安全專家指出，這些強大工具可能會在安全產品中引入新的漏洞。惡意攻擊者可能武器化或污染AI模型，這也引發了對AI生成內容準確性的擔憂。因此，許多投稿深入探討了“檢索增強生成(RAG)”的應用，研究如何保護RAG工作流，以降低數據檢索風險，并確保系統基于可靠的信息構建。

非人類身份(NHI)激增

身份認證與訪問控制依然是最受關注的安全議題之一。然而，AI發展帶來了新的身份管理挑戰，促使安全專家加緊應對非人類身份的激增。為了提升運營效率，企業正在廣泛采用機器身份，但隨著云環境的擴展，管理這些身份的復雜性也在增加。

許多投稿圍繞非人類身份展開，探討了如何防御非人類身份相關攻擊、如何構建非人類身份安全框架，以及如何在RAG架構中保障非人類身份的安全性。

與AI助手協作

隨著新工具的出現，人機界限正逐漸變得模糊。因此，投稿中不乏對AI助手“坦白”、做夢、產生幻覺、過度分享，甚至提升工作效率的討論，這也引發了疑問：“什么才算是真正的人類?”長期以來，人類行為中的偏見，如今也在AI技術中顯現。內部威脅的風險不再僅限于心懷不滿的員工，還可能源自常見的配置錯誤。

投稿警示稱，盡管開發者頻繁使用大模型，但過度依賴AI生成的代碼可能影響代碼質量、安全性和可維護性，同時削弱開發人員的學習機會。部分專家擔憂，這些工具可能限制創造性問題解決能力，助長虛假專業感，并增加安全風險。

道德問題的探討

今年的投稿表明，RSAC社區對AI治理的道德問題高度關注。許多投稿強調，AI的快速應用引發了一系列擔憂，并主張AI的使用不僅要安全、負責任，還必須符合倫理標準。

無論是探討跨層級溝通、制定符合道德標準的決策，還是主張將AI道德納入包括歐盟GDPR在內的法規體系，許多網絡安全專家都希望推動AI倫理政策和實踐的制定，以確保從產品開發到風險管理，全方位塑造網絡安全的未來。

API風險的緩解

技術創新正在不斷重塑威脅格局，并影響企業的整體安全策略。大模型和生成式AI的爆炸式增長，使API安全問題變得尤為緊迫。

鑒于API是現代數字企業供應鏈的核心，一些投稿揭示了“影子API”的潛在風險、API過度暴露的危害，以及API在安全訪問工具中的關鍵作用。其他投稿則提供了API保護措施，包括如何保障5G網絡API安全，以及為生成式AI/大模型應用提供全面的API安全解決方案。

量子安全的疑問與擔憂

盡管我們尚未真正進入量子時代，但網絡安全行業已開始未雨綢繆，為后量子時代做準備，態度既緊迫又具有戰略性考量。AI正在影響密碼學家制定后量子密碼(PQC)的方式，因此，網絡安全團隊正在評估量子計算的現狀，并規劃未來路線圖。

相關投稿涵蓋從基礎量子概念，到AI、網絡安全與量子計算的交匯，重點探討如何通過實際解決方案防御未來的量子威脅。

一切的守護者

許多投稿巧妙地運用了“守護者”這一詞匯，使其更具吸引力。網絡安全專家的職責本質上是抵御威脅，因此“守護者”一詞的高頻出現并不令人意外。多位投稿者表達了類似觀點，即網絡安全從業者在身份管理、政策制定，以及AI驅動的托管安全服務(MSSP)等多個領域，皆扮演著“守護者”的角色。

多個投稿強調，行業應回歸基礎，無論資源有限或充足的企業，都應警惕新興技術的誘惑，確保網絡安全人人可及。除了強調服務他人，一些投稿也關注安全團隊自身的保護，尤其是如何預防職業倦怠。

持續致力于保護和服務他人

RSAC 2025投稿不僅反映了網絡安全行業的思考，也展現了整個社區的關注重點。許多投稿聚焦如何構建更加包容和有彈性的安全文化，部分投稿則特別關注如何保護不同群體，從年輕的數字公民到老年人。

我們發現，投稿者們對如下議題進行了深入探討：推動社區參與、提升網絡安全意識作為公共服務、提高“網絡安全貧困線”，以及加強合作共贏。安全專家正從全新的視角出發，思考如何強化供應鏈安全、更有效地降低第三方風險，打造一個更加安全的世界。

多元聲音，共同社區

分析RSAC 2025的投稿趨勢，我們可以清晰地看到，眾多杰出的思想者和創新者希望與RSAC社區分享他們的見解。安全專業人士對生成式AI持謹慎樂觀態度，并在積極規劃未來。

參考資料：rsaconference.com

文章來源：安全內參