6 月 22 日,英语世界情报联盟「五眼」(Five Eyes)的网络安全主管机构罕见地以一个声音对外发声。美国国家安全局(NSA)与网络安全和基础设施安全局(CISA)、英国国家网络安全中心(NCSC)、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(Cyber Centre)、新西兰国家网络安全中心(NCSC)——五国共六家机构的负责人,联名发布了一份题为《AI 给网络风险带来的转变:领导者为何必须立即行动》(The AI shift in cyber risk: why leaders must act now)的简短声明。声明只有约 3 页,却用了一句异常直白的话定调:前沿 AI 模型「预计将超出当前行业预期」,在攻防两端同时被「根本性重塑」,而留给各方反应的时间「不是数年,而是数月」(The timeline is not years, it is months)。
这份声明最值得注意的不是它说了什么新技术,而是它没说什么——它不点名任何一个模型、不披露任何一次具体攻击、不给出任何 benchmark 数字,而是越过技术团队,直接喊话企业的董事会与高管层:网络风险「不再能被当作纯技术问题」,它是「核心业务风险与领导层责任」。六国机构给出的处方是两条腿走路:一边立刻把补丁、攻击面收敛、身份管控等「基本功」做扎实,一边「有意识地」把 AI 用于自身防御,而不只是用来提效。配套发布的加拿大国别声明把这种紧迫感量化成一句话——AI 正在把「漏洞被发现到被利用」的窗口「从数天、数周压缩到数小时」。
发生了什么
一份六人署名、跨五国的「行动号召」
这份声明的署名阵容本身就是信号。它由六位机构一把手共同签发,横跨五个国家的信号情报与网络防御体系:
- Nick Andersen — 美国 CISA 代理局长
- David Imbordino — 美国国家安全局(NSA)网络安全局局长
- Richard Horne — 英国 NCSC 首席执行官
- Stephanie Crowe — 澳大利亚网络安全中心(ACSC)负责人,隶属澳大利亚信号局(ASD)
- Rajiv Gupta — 加拿大网络安全中心负责人,隶属加拿大通信安全局(CSE)
- Catriona Robinson — 新西兰 NCSC 负责人,隶属新西兰政府通信安全局(GCSB)
声明开宗明义:「作为五眼网络安全机构的领导人,我们在行动号召上是一致的:人工智能不断演变的格局正在迅速改变网络风险,我们必须迅速行动以保持领先。」它承认 AI 是一把双刃剑——「AI 会随时间帮助我们改善网络防御,但它同时加速了网络威胁的速度、规模和复杂度(speed, scale, and sophistication)」。
声明给「领导者」开出四条总纲式的要求:理解并评估风险、就绪度与问责机制;优先夯实基础性的网络安全实践与控制措施;赋予网络安全负责人相应的权限与资源;在威胁与指引演进时保持主动参与。它把话说得很重:做到这些的组织会赢,「做不到的将面临日益扩大的运营与战略劣势」。
罕见之处:不谈技术,直接喊话董事会
把这份声明放进五眼机构以往的发文序列里看,它的「反常」很明显。五眼机构过去一年的联合发文,几乎都是技术性、点名式的威胁通报:4 月联合发布过「防御中国关联隐蔽网络」的咨询、点名俄罗斯 APT28 劫持路由器、就 Fortinet 防火墙遭全球攻击发警报。这些都有明确的攻击者、明确的 IOC(威胁指标)、明确的缓解步骤。
而 6 月 22 日这份声明刻意抽离了技术细节,通篇是战略层面的「劝说」。它反复强调一个观点:「网络韧性不是 IT 问题——它是运营连续性与市场信任的核心。」声明要求「董事会与高管确保网络韧性到位、并在压力下真正奏效」,还特别点出一个常被忽视的区别:「光有控制措施还不够。领导者必须有信心这些控制措施会在真实事件中发挥作用。」这等于在说:很多组织的安全建设停留在「买了工具、过了审计」,但从没在真实压力下验证过。
声明给出五条「不新、但现在变得紧迫」的具体动作:收敛攻击面(质疑系统是否真的需要对外暴露)、加速打补丁(因为 AI 在压缩「发现漏洞到利用漏洞」的时间)、处理遗留系统(无人维护的旧系统「不只是技术债,更是战略负债」)、强化身份与访问控制、事前做好事件响应准备(假设入侵一定会发生,聚焦快速遏制与恢复)。三条「核心原则」则强调:安全设计与默认安全(secure-by-design / secure-by-default)必须成为标准而非愿景;韧性不能依赖单一方案,纵深防御依然关键;随着 AI 系统演进,会冒出新的、此前未知的漏洞,「包括零日漏洞」。
加拿大国别声明:把「数月」落到「数小时」
加拿大网络安全中心(隶属 CSE)在两天后(6 月 24 日)发布了一份更长、更具体的国别配套声明,呼应五眼联合声明并给出本国语境。它把联合声明里抽象的「速度」量化成一句可感知的话:前沿 AI 模型「能让网络威胁行为者比以往快得多地发现并利用漏洞……在某些情况下把防御者的反应时间从数天或数周缩短到数小时」。
加方声明还披露了一个此前少见公开的细节:Cyber Centre「直接与产业界(包括 AI 厂商)接触,追踪前沿 AI 如何演进」,并明确点名「这包括参与 Project Glasswing 这样的倡议」——这暗示五眼机构与前沿模型厂商之间存在某种持续的能力评估通道。加方援引其《2025-2026 国家网络威胁评估》(National Cyber Threat Assessment)与《2025-2027 勒索软件威胁展望》,指出威胁行为者已经在用 AI 做三件事:更快、更大规模地伪造钓鱼/语音诈骗/深度伪造冒充;把多个弱点串联起来发动攻击(即「漏洞链」vulnerability chaining);以及让低技能者也能实施更复杂的攻击。加方负责人 Rajiv Gupta 的署名表态是:「前沿 AI 正以一种要求立刻行动的速度重塑网络威胁格局……强健的网络卫生(cyber hygiene)仍然是你在快速演变的威胁环境中最强大、最有效的优势。」
关键数据 / 技术细节
这份声明本身不含 benchmark 或参数,它的「数据」是定性判断 + 时间尺度。下表汇总六国机构在两份声明中给出的核心论断及其来源:
| 论断 | 具体表述 | 来源 |
|---|---|---|
| 时间尺度 | 前沿 AI 重塑攻防能力,「不是数年,而是数月」 | 五眼联合声明(NCSC / CISA) |
| 能力预期 | 前沿模型「预计超出当前行业预期」,攻防两端被「根本性重塑」 | 五眼联合声明 |
| 威胁三要素 | AI 加速威胁的速度、规模、复杂度;降低恶意行为者门槛 | 五眼联合声明 |
| 响应窗口 | 「发现漏洞到被利用」窗口缩短;加方:从数天/数周 → 数小时 | 五眼联合声明 / 加方声明 |
| 风险定性 | 网络风险是「核心业务风险与领导层责任」,非纯技术问题 | 五眼联合声明 |
| 攻击手法 | 钓鱼/语音诈骗/深伪冒充、漏洞链、低技能者实施高级攻击 | 加方声明 |
| 署名规模 | 五国六家机构负责人联名 | NCSC / CISA 署名栏 |
| 发布日期 | 2026 年 6 月 22 日(加方国别配套 6 月 24 日) | CISA「Released」字段 / 加方页脚 |
需要标注的几处不确定性与口径:其一,「数月」是机构的预判而非已实现的事实——声明用的是「anticipated」(预计)、「will」(将会),它描述的是趋势研判,不是某次已发生的 AI 驱动攻击的复盘;读者不应把它读成「AI 已经能自主打穿关键基础设施」。其二,声明没有公开任何支撑这一判断的具体技术证据或评估数据,其依据(如 Project Glasswing 下与厂商的能力评估)未对外披露细节,公众无法独立核验「数月」这个时间尺度的推导过程。其三,加方声明的发布日期是 6 月 24 日,与联合声明的 6 月 22 日相差两天,本文据加拿大政府页面页脚与正文日期如实标注。
展开:六国机构给「领导者」的完整行动清单
四条总纲(给高层)
- 理解并评估风险、就绪度与问责机制
- 优先夯实基础性网络安全实践与控制措施
- 赋予网络安全负责人相应的权限与资源
- 在威胁与指引演进时保持主动参与
三条核心原则
- 安全设计 / 默认安全必须成为标准实践,而非愿景
- 韧性不能依赖单一方案或技术,纵深防御依然关键
- 随 AI 系统演进,会出现新的、此前未知的漏洞,包括零日漏洞
五条具体动作
- 收敛攻击面:限制不必要的系统访问与对外连接,质疑系统是否真需暴露
- 加速打补丁:AI 正压缩「发现到利用」的时间,运营系统更新周期长,要按风险优先级排序
- 处理遗留系统:无维护的旧系统是「战略负债」
- 强化身份与访问控制:限制谁能访问关键系统,强认证,定期复核权限
- 事前准备事件响应:演练响应预案、训练团队、假设入侵会发生,聚焦快速遏制与恢复
贯穿始终的一句话:「把 AI 有意识地用于强化防御,而不只是提升效率。」
为何重要
第一,这是五眼机构第一次以「战略劝说」而非「技术通报」的姿态,集体把前沿 AI 定性为近在咫尺的网络安全变量。 过去这类联合发文要么针对具体国家级攻击者(俄罗斯、中国关联组织),要么针对具体产品漏洞(Fortinet、路由器)。而这一次,六国机构选择越过技术圈、直接对企业治理层喊话,且把时间尺度从模糊的「未来」收紧到「数月」。这种「不谈细节、只谈紧迫」的表达方式,本身就是一种判断:他们认为问题已经不在「技术团队知不知道」,而在「决策层重视不重视、授不授权、给不给钱」。把网络风险从 CISO 的桌子搬到董事会的议程,是这份声明真正的政策意图。
第二,它和同期的「前沿模型治理」浪潮形成呼应,但走的是完全不同的路径。 就在这前后,美国政府正以出口管制、分阶段发布、逐客审批等方式,试图从「谁能拿到最强模型」这一供给侧收紧前沿 AI 的网络能力(典型如对 Anthropic 网络安全模型的暂停与放行)。而五眼这份声明走的是需求侧 / 防御侧:它不试图限制模型扩散(它清楚地承认「AI 已经来了、对手已经在用」),而是敦促防御方「用同样的武器」把基本功补上、把 AI 接进自己的安全运营。两条路径一个管「攻」的获取、一个促「防」的升级,合起来勾勒出政府应对前沿 AI 网络风险的双线策略。值得注意的是,声明专门点名「包括厂商在内」的业界要一起行动——这把责任链条从最终用户延伸到了模型与软件供应商。
第三,这份声明对从业者的真正价值,在于它把「AI 网络威胁」从科幻拉回到了运维。 声明里最务实的一句是:补丁、攻击面、身份、遗留系统、事件响应——「这些动作并不新」。它没有兜售任何「AI 安全新产品」,反而泼了盆冷水:「成功不会来自拥有最多的工具,而来自把基本功做对、行动快、把网络安全融进核心业务战略。」对买方而言,这是一个重要的反营销信号:面对 AI 加速的威胁,正确的第一反应不是去采购新一代 AI 安全工具,而是先确认旧的基本功在真实压力下还撑不撑得住。 加方把响应窗口压到「数小时」,等于在说:依赖「人工分诊 + 周级补丁周期」的传统运维节奏,正在被 AI 驱动的攻击节奏甩开。
我们的判断:6 月 22 日这份声明的分量,不在它披露了什么(它几乎什么具体的都没披露),而在谁在说、用什么口吻说、对谁说。五眼六家机构同时署名、绕过技术圈直接劝董事会、把时间尺度钉死在「数月」——这三件事叠加起来,传递的是一种「我们认为拐点已经很近、且常规沟通渠道不够用了」的集体焦虑。这是一份信号文件,不是一份技术文件,读它要读它的姿态。
先说它对的地方,也是最该被采纳的地方:把网络风险重新定性为业务风险、强调「光有控制不够、要验证控制在真实压力下奏效」,这两点是扎实的。 太多组织的安全是「合规驱动」而非「对抗驱动」——买了 EDR、过了等保/审计,却从没在红队压力下验证过遏制能力。AI 把攻击节奏提上来之后,这种「纸面韧性」会第一个被击穿。声明拒绝兜售新工具、反过来强调基本功,这份克制在一片「AI 安全」营销噪音里难能可贵,值得买方认真听。
但要给这份声明本身打上几个 caveat,否则就成了照单全收。其一,「数月而非数年」是一个没有公开证据支撑的判断。 声明用的是「预计」「将会」,它描述趋势、不复盘事实;支撑它的能力评估(如 Project Glasswing 下与厂商的接触)细节不公开,公众无从独立核验这个时间尺度怎么推出来的。情报机构有它的信息优势,但「相信我们,时间不多了」这种表述,天然带有「制造紧迫感以推动行动」的成分——它可能完全正确,也可能是审慎的预防性高估,目前无法证伪。其二,这类高层级、无抓手的「行动号召」,历史上的转化率并不高。 「请董事会重视网络安全」是过去十年说了无数遍的话,真正改变行为的往往是一次惨痛的真实事件(勒索、停产、巨额罚款),而不是一纸声明。声明给的五条动作(打补丁、收攻击面、管身份……)也确实「不新」——问题从来不是不知道,而是优先级、预算和组织惯性。一份措辞再恳切的声明,能不能撬动这些,存疑。
最后一个被乐观叙事盖住的紧张点:声明一边说「AI 加速攻击」,一边劝你「用 AI 加强防御」,但攻防双方采用 AI 的速度和门槛并不对称。攻击方用 AI 几乎无合规负担、无审计、无误报代价,可以激进地把 AI 用满;防御方把 AI 接进安全运营,却要面对数据合规、误报风险、对 AI 输出可靠性的顾虑(加方声明自己也承认 AI 会带来「依赖不准确或被操纵输出」的内部风险)。换句话说,「防御方也用 AI」这个对策在方向上没错,但它落地的摩擦显著高于攻击方——这意味着即便所有组织都照做,攻防之间的时间差也未必能抹平。这份声明把对策说得很对,但对对策落地的不对称性着墨太少,而这恰恰是「数月窗口」里最该被正视的难点。
接下来看什么
- 声明背后的能力评估会不会公开。 「数月而非数年」这个判断的可信度,取决于它的依据能否被检验。盯 Project Glasswing 这类官方-厂商通道是否披露任何结构化的前沿模型网络能力评估(类似 METR/UK AISI 的部署前评估)——若始终只有结论、没有证据,这份声明的说服力就会随时间衰减。
- 从「声明」到「强制」的距离。 这份声明是劝说性的、没有约束力。观察它会不会在几个月内升级为带牙齿的东西:监管要求、关键基础设施的强制基线、董事会层面的网络问责立法。五眼里英国(Cyber Governance for Boards)和澳大利亚的监管动作通常走得较前,值得优先盯。
- 是否出现第一例被官方归因为「前沿 AI 显著放大」的真实攻击。 声明是预判,真正会改变行为的是事实。盯各国 CERT/机构的事后通报里,何时第一次明确把某次攻击的「速度/规模」归因于前沿模型——那将是「数月窗口」是否兑现的硬指标。
- 供给侧管制与需求侧防御两条线会不会打架。 政府一边收紧最强网络安全模型的获取(出口管制、逐客审批),一边劝防御方「多用 AT」。若防御方恰恰被挡在最强模型门外,这两条政策线会产生张力。观察是否出现「给防御者开口子」的差异化授权安排。
- 企业的真实响应:预算、演练、还是又一次「已读」。 衡量这份声明成败的终极指标,是它有没有撬动行为。盯下一季度的安全预算指引、董事会议程变化、以及「假设入侵」式红队/桌面演练的采用率——若一切照旧,它就只是又一份被归档的高层声明。