无线安全：AI 与 AI 之间的攻防对决

85% 的组织在过去 12 个月内至少经历过一次无线安全事件，58% 遭受了财务损失，其中一半每年损失达 100 万美元或以上。超过三分之一的组织表示，过去两年间无线威胁持续升级，而威胁升级的首要驱动因素，正是 AI 生成或自动化发起的攻击。

以上数据来自思科近期对全球 6098 家企业的调查，受访对象涵盖美洲、亚洲、欧洲、中东及非洲地区。报告明确指出，随着 AI 工具让恶意攻击者的成功率大幅提升，Wi-Fi 网络正面临日益严峻的安全风险。业界专家对此也高度认同。

"问题不是 AI 如何改变安全，而是它在哪些方面没有改变安全，"ZK Research 创始人兼首席分析师 Zeus Kerravala 表示，"AI 让攻击者可以做以前针对有线网络做的事，但速度更快，精细化程度更高。"

要构建有效防御，就必须以 AI 对抗 AI。包括思科在内的多家企业正在为此开发相应工具。但专家同时指出，零信任架构和网络分段等成熟策略，同样能为企业提供有力保护。

"AI 并没有从根本上改变网络安全，"网络安全厂商 Illumio 首席布道师 John Kindervag 说，"它只是暴露了多年来被忽视的基础缺陷和错误认知。"Kindervag 被认为是在 Forrester Research 担任分析师期间率先提出"零信任"概念的人，他表示，自己在 2006 年论文中归纳的五个无线安全误区，至今仍被当作有效的 Wi-Fi 安全措施讨论——但事实上早已不应如此。

无线网络与 AI 的双重价值

思科这项研究旨在说明：无线网络是释放 AI 增长潜力的关键基础设施，因此必须同时具备安全性与高性能。升级到最新一代 Wi-Fi 解决方案，正是实现这两者的途径。这本质上是一个投资回报的逻辑：现在投入升级无线基础设施，还是得过且过、听天由命？

报告用严峻的数据描绘当前无线安全形势：除 85% 的组织在过去 12 个月内至少遭遇一次安全事件外，38% 的组织表示过去两年威胁持续加剧。

AI 已成为最重要的安全威胁来源，35% 的受访者将 AI 生成或自动化网络攻击列为威胁驱动因素。报告指出："这类攻击能够识别网络漏洞，根据防御响应动态调整攻击策略，并以远超人类攻击者的规模和速度运行。"

这也引出了思科所说的"AI 悖论"：AI 既是无线网络投资回报的最大驱动力，也是其面临最大挑战的根源。部署了 AI 的企业将无线网络视为战略核心，并能在 AI 部署策略中融入无线优化，从而获得显著更高的回报。然而，同样是这个 AI，正在引入新的安全威胁，并加剧了人才争夺的竞争烈度。

人才竞争的根源，在于企业将最优秀的员工从无线网络（以及其他领域）抽调到 AI 项目，而安全威胁则更为多样复杂。

AI 如何武装攻击者

思科企业无线首席技术官 Matt MacPherson 指出，AI 能更快地定位薄弱网络和终端，甚至识别出更可能对伪造的多因素认证请求上当的用户。

AI 工具可以帮助攻击者回答这样的问题：我应该冒充哪些 SSID、位置、设备或厂商？如何绕过现有的入侵检测与防御系统？

650 Group 技术分析师 Chris DePuy 表示，OpenClaw、Hermes Agent、Claude Code 等基于智能体的系统，可以持续自动发动攻击，直到黑客耗尽资金为止。"你给它一个目标，它就会一直追下去，"他说。

为了直观感受其便利性，DePuy 将 OpenClaw 安装在一台支持 Wi-Fi 的树莓派设备上。"之后只需把它插上电源，放在想攻击的 Wi-Fi 网络附近，"他说。接着给出指令，比如"帮我找一个进入名为 ABCD 的 Wi-Fi 网络的方法"。设备随即连接到基于云端的大语言模型，自动编写代码，"一直尝试"直到找到突破口。"所以，攻击者的日子确实变容易了。"

MacPherson 对此表示认同，并指出这类工具正在改变游戏规则。"以前需要具备一定专业知识，才能理解细节并手动实施攻击，"他说，"黑客正在像我们一样使用这些工具来提升效率和可见性，让自己的攻击更有效率。"

IoT 与 OT 设备扩大了攻击面

与此同时，随着物联网（IoT）和运营技术（OT）设备的大规模普及，攻击者可利用的攻击面也在不断扩大。思科调查中超过三分之一的受访者（36%）表示曾遭遇 IoT 或 OT 设备被入侵的情况。

这一扩张趋势加剧了 Wi-Fi 的管理复杂性——98% 的受访者表示正在为此头疼。报告指出，这已让 IT 团队"陷入被动式工单处理的困境"。

Kerravala 对复杂性问题深有感触。他去年开展的研究发现，近 30% 的网络工程师每周花费至少 10 小时用于 Wi-Fi 故障排查。"在一个 40 小时的工作周里，25% 的时间都在处理无线故障，"他说，"在企业 IT 的所有工作中，无线故障排查是最难的，因为可能的原因太多，找到真正的那一个极其困难。"

IoT 和 OT 问题尤为棘手，因为很多企业根本不清楚自己拥有多少设备，更不用说它们的位置。Kerravala 举例说，他曾询问一家大型油气公司的 OT 负责人拥有多少台 OT 设备。对方回答："完全不知道。我只知道我们有 2 万个 Windows 域，每个域下都有一批 OT 设备，但具体有多少台，我真的无从说起。"

针对这一问题，已有解决方案可供参考。思科的 MacPherson 指出，较新的多频段无线接入点可帮助企业将 OT 网络纳入 IT 管理体系。

"这让 IT 对流量优先级、网络安全与分段拥有更大的掌控力，从而实现不同功能的隔离，"他说，"这样一来，黑客即便入侵了医院的一个灯泡，也无法进一步渗透到维持患者生命的呼吸机。"

Kindervag 也分享了一个亲历案例：他曾参与为约 5000 万台公用事业智能电表构建安全防护体系。方案的核心是将电表上报的控制器置于同一管理平面，并设立规则，只允许使用特定 IP 地址和特定协议（如 Modbus）的设备访问该平面。

"在这种情况下，AI 对攻击者毫无帮助——因为没有任何规则允许一台来自公网、IP 未知、协议未知的设备访问该系统，"他说。

以 AI 对抗 AI

尽管如此，包括 Kindervag 在内的专家一致认为，AI 在无线安全防御中同样大有可为。

"AI 将帮助我们在攻击者利用漏洞之前就发现并修补它们，抢在漏洞被利用之前采取行动，"他说，"这也会促使大家认真对待补丁管理。"

"AI 应该成为未来无线安全的标配，"Kerravala 说，"它是一种很好的故障排查工具。"这包括利用 AI 检测异常于正常人类行为的流量模式，例如去认证攻击。"AI 能发现人眼看不到的东西，包括极其细微的性能下降或其他异常情况。"

DePuy 也表示认同，并指出思科、Extreme Networks、HPE、Juniper、Ruckus Networks 等厂商正在将此类 AI 能力整合到其云管理系统中，将 AI 故障排查能力延伸至无线和有线网络。"这些系统进化得非常快，"他说，"在利用 AI 对园区网络进行主动扫描、提前发现问题方面，各家的规划令人印象深刻。"

分段与零信任的作用

当然，企业也不必将所有赌注押在 AI 上。Kindervag 强调，网络分段在无线安全中同样有效，尽管各方对其效果评价不一。Illumio 认为，合理的策略能够确保每位用户只能访问其被授权的资源，让入侵者无从下手。

也有人对分段在实际场景中的可行性提出质疑，例如在那些连 OT 设备位置都不清楚的油气企业，或在高度动态的环境中。

"我确实认为微分段是一个可行方向，但在高度动态的环境中，追踪所有设备，尤其是频繁移动的设备，会变得非常困难，"Kerravala 说，"这正是 AI 能够发挥作用的地方。它可以生成报告，帮你了解某台设备移到了哪个网络、哪个分段需要扩展，甚至有望实现整个流程的自动化。"

零信任架构在无线安全领域同样获得广泛认可。在零信任模型下，每台设备和每位用户在访问任何特定资源时，都必须经过身份验证和权限授权。

"这对大规模网络而言是必须的，"Kerravala 说，"零信任在我看来是最具可扩展性的方案。部署需要一定时间，但一旦建立，每台设备接入无线网络时都必须证明其身份与健康状态。"

Kindervag 当然也对此表示赞同，并指出对于 Wi-Fi 这样无处不在的基础设施，零信任等技术尤为必要。他特别强调，Wi-Fi 最初并非为企业应用而设计，因此安全性并未被列入原始设计考量。

"但所有人都需要它，"他说，"如果要套用马斯洛需求层次理论，排在食物和住所之前的第一需求，大概就是 Wi-Fi 了。"

Q&A

Q1：AI 是如何被用于无线网络攻击的？

A：AI 工具能够快速扫描和识别网络漏洞，自动冒充合法 SSID 或设备，并根据防御系统的响应动态调整攻击策略。借助基于智能体的系统（如 OpenClaw），攻击者只需将设备放置在目标 Wi-Fi 网络附近，连接云端大语言模型后便可自动编写攻击代码并持续尝试渗透，攻击门槛和所需专业知识大幅降低。

Q2：零信任架构对无线网络安全有什么具体作用？

A：零信任架构要求每台设备和每位用户在访问任何资源时，都必须完成身份验证和权限授权，而非仅凭接入网络就默认可信。这意味着即便攻击者成功接入 Wi-Fi，也无法自由访问内部系统。专家认为零信任是目前大规模网络中最具可扩展性的安全方案，尤其适合设备繁多、访问关系复杂的企业环境。

Q3：企业应该如何应对 IoT 和 OT 设备带来的无线安全风险？

A：核心思路是将 IoT 和 OT 设备纳入统一的 IT 管理体系，并通过网络分段实现功能隔离。较新的多频段无线接入点可以帮助企业把原本分散的 OT 网络接入 IT 管控范围，同时设定严格的访问规则，只允许特定 IP 和协议访问特定管理平面。此外，借助 AI 工具自动追踪设备位置和网络归属，也有助于降低因设备数量庞大而带来的管理盲区风险。