镜子与其双生：AI、学徒制与Cyber Ops的空洞化

Source: Dev.to

Introduction

AI 并没有让网络安全崩溃；它只是暴露了本已脆弱的部分。多年来，网络安全已经从操作员的认知漂移到分析师的依赖。AI 并未导致这种分歧——它只是让这个问题变得不可忽视。

The Mirror & Its Twin Pattern

The Mirror

• 表层能力
• AI 形塑的推理
• 看似合理的分析，却缺乏内部结构

The Twin

• 真正的操作员认知
• 内部模式、恒等式以及在不确定性下的推理

AI 让 Mirror 看起来比以往更可信——也更难与 Twin 区分。

Litmus Test

如果 AI 消失 24 小时，你的工作流会崩溃还是仅仅变慢？

• 崩溃 → Mirror
• 变慢 → Twin

AI’s Effect on Core Tasks

AI 降低了以下任务的成本：

• 解码脚本
• 汇总恶意软件
• 生成 YARA 规则
• 绘制基础设施图谱
• 解释协议
• 编写检测规则

这些任务曾是学徒制的熔炉——构建操作员内部模型的工作。现在只需一次提示即可完成。

Expertise vs. Appearance

AI 并没有自动化专业知识；它自动化了专业知识的外在表现。危险并不在于 AI 本身，而在于组织把输出误当成了理解。

Building Real Operators in a Third‑Gen Landscape

在不变式上训练操作员：

• 对手意图
• 协议行为
• 熵与结构
• 攻击者经济学
• 基础设施约束
• 检测理论
• 失效模式
• 系统边界

这些是 AI 能支持但永远无法取代的内容。它们构成操作员认知的骨干——在工具失效时仍能存活的部分。

Rethinking Training

Shift Focus to Reasoning

• 重新构建培训，围绕推理而非吞吐量。
• 在求助 AI 之前，分析师必须阐明：
  • 假设
  • 预期行为
  • 异常
  • 前提
  • 未知因素

模型先行，工具随后。

Use AI as a Second Opinion

• 操作员将自己的内部模型与机器输出进行比较，然后进行改进。

Embrace Struggle

为分析师提供：

• 非结构化日志
• 畸形数据包
• 奇怪的二进制文件
• 模糊的跳转路径
• 不完整的遥测数据

挣扎是模型形成的地方。去除挣扎就等于剥夺学徒制。

Governance and Incentives

• 如果组织奖励吞吐量，你会得到 Mirrors。
• 如果组织奖励推理，你会得到 Twins。

衡量什么，就得到什么。

Conclusion

AI 是一种力量倍增器，但力量倍增器只有在有真实事物可供放大时才有效。如果我们现在不重新设计学徒制管道，最终会出现：

• 一小批真正的操作员
• 大量依赖 AI 的分析师
• 一个在关键时刻仍分不清两者的行业

AI 并没有掏空这个领域；是我们把分析当作生产而非学徒制，从而掏空了它。解决方案不是怀旧，而是治理。