AI时代的网络免疫

请提供您希望翻译的正文内容（除代码块和 URL 之外），我将把它翻译成简体中文并保持原有的格式。

演示概述

改编自 Sasha Le 在 RMIT AWS 创新实验室（RAIL）启动仪式上的主题演讲（高级工程师，Tide Foundation）— 2026年4月21日。

人类脆弱性

在 2022 年，一个名为 Lapsus$ 的勒索软件组织入侵了地球上最先进的几家科技公司：Microsoft、Nvidia、Okta、Uber 和 Samsung。

这位首脑并非国家支持的黑客组织。他是一个十六岁的少年，坐镇母亲的客厅。他既没有发现鲜为人知的零日漏洞，也没有在代码上超越这些科技巨头的安全团队。他的成功在于 贿赂、勒索并欺骗那些掌握王国钥匙的内部人员。

我们已经在软件和系统上投入了数十亿美元进行加固，但管理这些系统的人仍然拥有“神一般”的管理员权限。对于任何值得称道的攻击者来说，这些人是最短的入侵路径。

现在，把这种攻击模式交给人工智能。

我们正面临能够：

• 实时克隆 CEO 声音的超级智能系统，
• 在几分钟内绘制组织结构图，
• 大规模、精准地施加社交压力

在一个 AI 能够不懈地针对人类心理和软件漏洞的时代，传统的网络安全范式正以前所未有的速度失效。

The Paradox of “Vibe Coding”

我们不能仅仅依赖 AI 来保护我们免受 AI 的威胁。软件的构建方式变化得太快。我们已经进入了 “vibe coding” 时代——你用普通英文描述需求，AI 就能构建应用。

• 入门门槛已经消失，全球构建者人数从 2023 年的 1 亿 增长到 预计今年的 15 亿。
• 估计 85 % 的生产源码现在都是 AI 生成。

虽然这种生产力的爆炸令人难以置信，但也伴随着巨大的盲区。我们正以人类安全团队根本无法审查的速度，大规模生成包含硬编码密钥、错误配置的访问权限以及泄露凭证的软件。vibe coding 导致漏洞数量增加了 300 %。

让两个超级智能相互竞争去修补这些数以百万计的漏洞并不能解决问题。这是一种结构性的僵局。

唯一能够防御这种指数级增长威胁的方法是彻底改变问题的物理属性：去除 AI 能够攻击的对象。
如果系统一开始就从不被信任任何敏感信息，会怎样？

介绍突现权威

在 Tide，我们正在构建基于我们称之为 突现权威 的新颖原则的基础设施。

概念很简单。 实际执行敏感操作的权威——例如对用户进行身份验证或访问关键数据——完全超出任何使用它的系统或个人的掌控。

• 它 不存放在集中式金库（这正是当今的最佳实践）。
• 相反，这种权威 即时出现，且仅在 所有加密条件完美满足 时才生效。

在这种架构下，服务器实际上是一个 无感知的代理。它不拥有任何权力，也不存储任何机密。若攻击者入侵服务器，他们将一无所获。即使 AI 对系统管理员进行社会工程攻击，入侵同样毫无成果，因为该管理员已不再拥有直接、单方面的权威。

最薄弱的环节将被削弱，无法构成灾难性威胁。

通过 KeyleSSH 进行验证

KeyleSSH – 特权访问管理系统

理论安全是一回事；在最高风险的场景中证明它则是另一回事。我们在 RACE Cloud 超算中心（由 RMIT 与 AWS 支持的项目）的工作中验证了该架构。

我们将 Emergent Authority 应用于 IT 基础设施中最关键、风险最高的领域之一：特权访问管理（PAM）。

• PAM 系统由 IT 团队用于管理对服务器、防火墙和数据库的访问。
• 按设计，传统 PAM 集中管理组织拥有的所有特权凭证——相当于一个装有王国钥匙的金库。
• 当攻击者攻破这些中心金库时，后果是灾难性的。

我们在 Lapsus$ 团伙通过诱骗员工交出凭证、从而直接访问 Uber 金库的事件中看到了这种模式。更近期，美国财政部的一次重大泄露被追溯到 BeyondTrust——一家领先的 PAM 供应商；攻击者利用软件防御中的特定“薄弱点”劫持了安全密钥。

KeyleSSH 证明 从人类和系统中移除直接授权，消除了攻击者（无论是人类还是 AI）所追寻的高价值目标，从而打断了妥协链。

Ivanti 和 Okta 等供应商的漏洞最近影响了包括美国司法部在内的其他机构。
这严峻提醒我们：当我们将所有授权集中在单一供应商时，就对其盲目信任，而其代码中的单一点缺陷就会成为进入我们最敏感机构的后门。

从根本上解决问题

Tide 构建了 KeyleSSH，一个完全基于 Emergent Authority 的开源 PAM。

要了解其规模，想象一家中型公用事业公司可能拥有数万台服务器，每台服务器都有自己的凭证。KeyleSSH 管理所有这些服务器的访问密钥，但根本不持有任何密钥。

当管理员通过 KeyleSSH 登录时，这是一种 零知识登录：

• 密码永远不会离开设备。
• 服务器上没有可被窃取的密码数据库。
• 认证通过加密方式验证。

当该管理员打开到生产服务器的会话时：

• 没有密钥需要存储、轮换或撤销。
• 没有中心金库。
• 用于打开会话的加密授权 即时产生，将其连接起来，但用户和 PAM 本身都不拥有密钥本身。
• 执行关键命令需要其他管理员的加密批准，消除了单一被妥协的“全能”账户的风险。

下一步的基础设施

超智能 AI 必然会发现你软件中的漏洞，并对你的管理员进行社会工程攻击。

如果一种架构能够 确保没有机密以易受攻击的状态存储，那么一次成功的入侵也不会为攻击者带来任何收益。目标从单纯防止入侵转向构建 网络免疫 的基线。在这种模型下，即使网络被攻破，系统的数学结构也会使该事件在结构上毫无影响。

拍摄人员

• RMIT 副校长（研究与创新），杰出教授 Calum Drummond AO
• RMIT 大学副校长兼校长，Alec Cameron 教授
• AWS 全球教育部总经理，Valerie Singer
• Tide 基金会联合创始人，Yuval Hertzog
• Tide 基金会高级工程师，Sasha Le
• ACCC 专员，Ian Oppermann 博士
• 研究基础设施副副校长，Mark Easton 教授
• AWS 教育业务客户经理，Chris Mano
• AWS 云超级计算中心主任，Robert Shen 博士