Jiayun's Blog

探索与分享

当"防火墙"自己变成了"火墙"

10 月 31 日,Krebs on Security 披露了一个令安全行业脸红的故事:自称是巴西"最大抗 DDoS 服务商"的 Nethix,被巴西联邦警察查实反向对自己的客户和竞争对手 ISP 发起了大规模 DDoS 攻击——目的是迫使更多 ISP 购买自家服务。这是 protection racket 的数字版本。

这不是孤例。本周 Trail of Bits 同时发布了两篇技术博客:一篇升级了开源 fuzzer Ruzzy(与 LibAFL 集成),另一篇推出 Trailmark——一个把任意代码库转换为可查询图谱的工具。两条新闻看似无关,但合起来构成了 2026 年安全产业的一个新坐标系:“防御者"的可信度正在塌方,而真正的下一代防御工具正在从"扫描"走向"图谱”。

一、Nethix 事件的产业含义

抗 DDoS 是一个高度集中、信息极度不对称的市场:客户没法验证攻击是否真实,服务商既是裁判又是球员。Nethix 利用这一点把"自导自演"做成了商业模式。这件事的尴尬不在巴西,而在于:

  • 同样的激励结构存在于全球:CDN/WAF/抗 DDoS 服务商有强烈动机把"威胁等级"叙述得更高。
  • 客户侧无可观测性:99% 的 ISP 不具备独立验证攻击源的能力。
  • 监管几乎为零:没有任何主要市场对抗 DDoS 服务商有强制审计要求。

安全行业对"信任"的消耗速度,正在超过它对"威胁"的消化速度。 这是过去 18 个月一系列事件的延续:SolarWinds、Okta、CrowdStrike 7 月蓝屏、再到 Nethix。世界上对"安全公司"做安全审计的人越来越少,但安全公司对世界做"审计"的权限越来越大。

二、为什么 Trailmark 这种工具开始重要

传统 SAST/DAST 工具有两个根本问题:误报率高、无法追问"为什么"。Trail of Bits 的 Trailmark 走的是另一条路——把代码库变成属性图(property graph),让安全工程师可以用 Cypher-like 查询直接问:

1
2
3

MATCH (f:Function)-[:CALLS*]->(s:Sink {kind:'exec'})
WHERE f.entry = true AND NOT (f)-[:VALIDATES]->(:Input)
RETURN f.path, f.line

这种方式的本质,是把"安全审计"从一个生产消费品(一份 PDF 报告)变成一个可查询资产(一张可演化的图)。配合 LibAFL 这种现代 fuzzer 的 corpus 共享能力,安全团队第一次有机会对一个代码库持续、累积地积累知识,而不是每次审计都从零开始。

范式旧 SAST图谱 + Fuzzer
输出静态报告可查询资产
误报处理人工三角化用查询裁剪假阳性
AI 可用性难以喂给 LLM图天然适合 LLM 推理
跨项目复用几乎没有corpus + 图模式可迁移
增量更新全量重跑增量加边/节点

三、AI 在攻防两端的非对称放大

这是当下最被低估的安全事实:

  • 攻击端:AI 让侦察、PoC 编写、payload 变形成本逼近零。任何一个会用 Cursor 的人都能在一周内独立产出一个可用的 0day 链。
  • 防御端:传统 SAST 在 LLM 时代仍然 90% 是确定性正则匹配。防御侧的"AI 化"远远落后于攻击侧。

Trailmark 这类工具之所以重要,是因为它给"防御端的 LLM"提供了一个可查询的世界模型——LLM 不再需要"读完整个代码库",只需要查询图谱定位关键路径。这是把 RAG 思想用在安全工程上。

四、对企业安全负责人的三条可执行建议

  1. 审计你的"安全供应商":把所有 WAF/抗 DDoS/EDR 服务商的攻击告警与第三方独立流量数据(Cloudflare Radar、IODA、Team Cymru)做对照。如果某家服务商汇报的攻击量长期高于行业基线 3 倍以上,做 RFP 重评估。
  2. 把代码库当数据库管:今年内试点一个代码图谱工具(Trailmark / CodeQL / Joern),让安全工程师能用查询而非工单回答问题。
  3. 建立 “AI 红队预算”:单独划拨 5-10% 安全预算,专门用于"用最新 LLM 攻击自己的产品"。这是唯一能跟上攻击侧成本曲线的姿势。

五、判断

Nethix 事件不会是最后一起。未来 24 个月内,至少一家市值 50 亿美元以上的"网络安全上市公司"会被查实存在严重的利益冲突或自导自演行为。 当这一刻发生,整个赛道的估值倍数会重定价——安全行业将经历自己的"安然时刻"。

而真正的赢家,会是那些把"可审计性"做成产品一部分的工具厂商。Trail of Bits 这种坚持开源、可复现的小型咨询公司,会获得不成比例的话语权。

参考来源

avatar

Developer & Blogger

FEATURED TAGS
agentic ai ai agent ai基础设施 ai安全 ai硬件 ai算力 ai编程 ai芯片 anthropic apple chiplet claude cloudflare copilot deepseek discord bot dram gemini gemma github github copilot google gpu hermes agent ios kubernetes llm nvidia openai python rag rust saas tee token经济 tsmc typescript 中国ai 云原生 云计算 产业分析 人形机器人 供应链 具身智能 半导体 基础设施 多智能体 大模型 安全 密码学 开发工具 开发者工具 开源 开源ai 开源分析 强化学习 推理优化 数据中心 机器人 架构设计 模型架构 版权 硬件 端到端加密 编程语言 编译器 网络安全 芯片制造 芯片设计 软件工程 量子计算 零日漏洞