腾讯云黑客松冠军方案：无人干预智能体自主答题赢取6万奖金

4月25日，第二届腾讯云黑客松智能渗透挑战赛决赛收官。本届赛事开创了一种全新赛制：参赛队伍无需亲自编写攻击代码，其核心任务是基于大语言模型，自主开发一个原创的AI智能体。随后，选手将完全“置身事外”，由智能体在云端虚拟靶场中自主完成漏洞探测、关卡渗透、夺取Flag的全流程攻防。这标志着国内首个真正意义上的智能体安全攻防实战竞赛诞生。

赛事设计了四大阶梯式解锁赛区，赛题难度从基础漏洞挖掘逐步升级至企业内网高阶渗透。最终，绿盟科技“ai小分队”凭借其卓越的智能体架构设计，从十支决赛队伍中胜出，夺得总冠军及六万元奖金。天翼安全、京东科技、清华大学等企业及高校战队分列其后。

▲第二届腾讯云黑客松智能渗透挑战赛决赛颁奖，来自绿盟科技的冠军战队获6万元奖金

整场赛事最具戏剧性的转折点，并非出现在高难度技术关卡，而是一道对人类而言极其简单的密码题。密码明文为“Ftp@2026”，未采用任何复杂加密。然而，正是其中的“2026”这个年份，导致所有AI战队集体“卡壳”，即便是冠军队伍也被困长达两天，直至比赛结束也未能破解。

问题的根源在于时间认知局限。参赛AI所依托的大语言模型，其训练数据普遍截止于2024年。在AI的认知框架内，2026年是一个尚未存在的“未来时间点”。智能体们被困于“时间认知茧房”中，只能反复尝试训练数据中已知的历史年份组合，无法跳出这一逻辑循环进行有效推理。

▲腾讯安全沙龙分享现场

腾讯安全云鼎实验室攻防负责人李鑫透露，比赛前期关卡被各队迅速攻克，原以为为期五天的赛程会提前结束。未料一道表面简单的题目，竟成为所有团队共同的技术盲区。

本届赛事共吸引610支战队、1345名安全研究员与开发者报名。决赛十强阵容多元，涵盖企业安全团队、高校实验室及个人开发者。一个显著趋势是，多位“10后”初、高中生选手闯入决赛圈，预示着新生代安全力量已开始登上实战舞台。

在决赛日的技术沙龙中，腾讯安全专家与冠军战队就智能体时代的安全攻防范式展开了深度探讨，议题覆盖大小模型协同作战、AI安全能力边界定义以及防御体系逻辑的重构。

▲腾讯安全入侵应急响应组负责人张迅迪（左）、腾讯安全云鼎实验室攻防负责人李鑫（中）、腾讯云安全总经理兼云顶实验室首席架构师李滨（右）

一、冠军架构揭秘：三层设计与大小模型协同

决赛路演环节，各队展示了差异化的智能体设计方案。绿盟科技“ai小分队”的夺冠关键，在于其清晰的三层架构设计及对Harness框架的有效应用。

▲第二届腾讯云黑客松智能渗透挑战赛决赛现场

该方案构建了一个三层架构底座，通过中央管理器（Manager）进行全局任务调度，协调多个专业求解器（Solver）协同工作，并利用Harness框架保障长周期任务的稳定执行。这套架构使其在隔离靶场环境中，高效完成了四大赛区的渗透挑战。

腾讯云安全总经理李滨在总结中指出，AI攻防的最优解并非单一模型替代，而在于协同分工。他认为，智能体应扮演调度与流程推进的中枢角色，通用大模型负责全局战略规划，垂类模型则针对特定场景提供低成本、高效率的定制化解决方案。

“盲目追求超大参数模型并不符合实战需求，”李滨强调，“安全攻防的核心约束始终是时间、效率与成本。在这三重约束下，大小模型融合的混合架构才是行业演进的主流方向。”

从决赛队伍的设计来看，底层普遍采用通用智能体的ReAct架构，差异主要体现在上层的任务编排逻辑与工具调用策略上。本次比赛中，各团队的Token消耗成本大致在7000元至1万元区间。

为何成本居高不下？李鑫解释道，智能渗透属于高资源消耗任务。它不同于常规的日志分析或样本研判，进攻方需要全程扫描环境、捕捉细微线索，过程中伴随大量试错。这类似于“翻检垃圾堆”，必须从庞杂信息中筛选有效碎片、拼凑攻击路径，因此大模型的调用频次与Token成本远高于防御类作业。

二、防御的本质：从“心理安慰”到“安全免疫系统”

谈及网络安全防御，李鑫提出了一个深刻观点：网络不存在绝对安全，传统防御在某种程度上，是一种基于风险管理的“心理安慰”。

其底层逻辑在于，安全攻防本质是一场动态的成本博弈。攻防双方的成本结构天生不对等，且成本边界持续漂移。过去，由于防御人才稀缺、体系存在短板，攻击方常能以极小成本实现突破。

但AI技术正在重塑这一格局。李鑫观察到，技术平权趋势下，防御端借助AI能力，其防护水平提升速度已显著快于攻击侧的进步速度。攻防天平正在系统性重构。

相应地，企业与机构的防御投入逻辑必须同步进化。未来的防御体系将更加依赖算力支撑。而从攻击视角看，AI时代的攻击行为将愈发隐蔽。传统人工攻击会留下行为特征与操作痕迹，而AI驱动下，一条简单指令即可完成高度隐蔽的全流程攻击，难以被传统检测手段察觉。

那么，防御出路何在？李鑫及其团队正在探索“AI对抗AI”的主动防御体系。他们观察到，部分先进智能体在遭遇攻击时，已能依据日志与环境信息自主研判风险并执行修复。这意味着，AI正初步具备系统自愈与安全免疫能力。

“未来的安全防护，将从过去人工打补丁的响应模式，全面转向系统自我防御。”李鑫指出，“核心在于构建一套健壮的安全免疫系统，实现攻击自动识别、对抗自动执行。”这标志着安全思维范式的一次根本性迁移。

三、AI带来的三大安全本质变化

李滨进一步梳理了AI浪潮给安全领域带来的三项本质性变革。

第一，漏洞的激增与攻击门槛的降低。 AI极大提升了软硬件研发效率，但海量新增代码也带来了指数级增长的基础缺陷。防御方需要处理的安全问题量级可能是过去的十倍。同时，传统供应链漏洞依然存在，而通过提示词注入等新型攻击的门槛大幅降低，隐蔽性更强。

第二，身份信任模型的重构。 智能体全面介入生产流程后，原有的身份信任体系被彻底打破。当用户授权智能体访问内部资源后，一旦智能体被恶意操控或发生操作失误，就会以用户身份执行高风险操作。在多人与多智能体混合协作场景下，权限混用、身份模拟等问题将变得极其复杂。

第三，防护逻辑的倒置。 AI打破了系统间的物理隔离边界。只要信息能进入大模型的上下文，恶意指令就可能实现跨系统、跨权限执行。当前多数智能体缺乏对提示词的安全校验，传统层层设防的外部防护思路面临根本性挑战。防护焦点不再仅是抵御外部入侵，还需防范内部的横向渗透与智能体间的互信风险。

腾讯安全入侵应急响应组负责人张迅迪从防御实践角度补充了应对思路。针对AI攻击自动化、连续性的特点，可通过强化二次认证机制阻断攻击链，同时部署欺骗防御手段为研判争取时间。他强调，精细化权限管控、核心数据加密等传统基础防御在AI时代不仅不能弱化，反而需要执行得更细致、更快速。只有夯实基础防御，再叠加AI增强能力，才能有效抵御新型威胁。

结语：迈向“AI对AI”的长期博弈

本届赛事结果极具行业启示。一方面，AI在安全攻防领域的实战能力超出预期。原定五天的赛程，头部战队在两天内基本完成；半年前的高难度赛题，随着模型迭代与开源生态成熟，已被轻松破解。

另一方面，那道未解的“Ftp@2026”密码题，清晰划定了当前智能体的能力边界。AI的短板有时不在于算力或架构，而在于对真实世界的理解与对齐能力。一旦脱离训练数据的时间或认知范围，再强大的推理能力也可能陷入低级循环。这种认知缺口，在高度依赖环境感知的安全攻防场景中，会被显著放大。

从行业演进看，通用大模型、垂类模型与智能体三者协同的架构体系，正成为AI安全落地的重要方向。攻防对抗模式，正逐步从“人对人”向“AI对AI”演变。而支撑这场漫长技术博弈的，将是时间、效率与成本之间永恒的权衡。