AI会取代渗透测试人员吗？安全测试的演进

渗透测试——在坏人之前入侵系统的艺术——是网络安全中最专业的学科之一。它结合了深厚的技术知识、创造性思维、坚持不懈以及那种使其令人着迷且难以自动化的横向问题解决能力。我们的数据显示，2025年渗透测试人员的AI暴露度为54%，高于2023年的38%，自动化风险为37/100。

尽管AI暴露度很高，但自动化风险相对较低，这反映了攻击性安全的一个基本事实：工具变得更智能了，但这门技艺仍然深深根植于人类。

AI如何改变渗透测试

漏洞扫描已被AI大幅增强。传统扫描器根据签名数据库检查已知漏洞。AI驱动的扫描器可以识别零日漏洞、分析代码中的新型安全缺陷，并根据实际可利用性而非理论严重性评分来优先排列发现结果。这意味着渗透测试人员花更少的时间运行扫描，更多的时间用于创造性利用——这才是工作的核心。

侦察和信息收集受益于AI处理和关联大量数据的能力。AI工具可以映射攻击面、识别系统间的关系、发现数据泄露中暴露的凭证，并比手动方法更快地构建全面的目标档案。

自动化利用框架变得更加复杂。AI可以串联多个漏洞、根据目标响应调整利用技术，甚至生成自定义载荷。

报告生成——历来是测试人员的主要时间消耗——可以部分自动化。

为什么渗透测试仍然是一个人类职业

创造性利用需要人类思维。渗透测试中最有影响力的发现往往来自意想不到的攻击路径——将低严重性漏洞与业务逻辑缺陷相结合，实现关键性入侵。这种横向思维是人类测试人员擅长而AI难以企及的领域。

社会工程本质上是人类的。钓鱼活动、伪装电话、物理安全评估和其他社会工程技术是全面渗透测试的核心组成部分。

业务背景指导测试优先级。了解客户业务的渗透测试人员可以将测试集中在最重要的地方。

对抗性思维意味着领先于防御者。

2028年展望

预计到2028年AI暴露度将达到约67%，自动化风险为50/100。AI将处理更多常规扫描和基本利用，使测试人员更高效。但对合格渗透测试人员的需求增长速度超过了AI减少需求的速度。

渗透测试人员的职业建议

学习利用AI工具来提高你的生产力和测试深度。在人类创造力最重要的领域发展专业知识——云安全、物联网/运营技术环境、移动应用或红队操作。获取认证（OSCP、OSCE、GPEN），但专注于实践技能。

如需详细数据，请查看渗透测试人员页面。

---

本分析由AI辅助完成，基于Anthropic 2026年劳动力市场报告及相关研究数据。

更新历史

• 2026-03-25：首次发布，包含2025年基准数据。