關鍵詞：網絡戰、AI網絡安全、代理式AI、自動化網絡防御

AI TTX 2.0(人工智能桌面推演 2.0)于2026年4月27日在五角大樓舉行，是一場由美國陸軍主導的高級網絡防御戰略級演習。該推演由美國陸軍部長首席網絡顧問辦公室主辦，美國特別競爭研究項目(SCSP)提供場景設計支持，美國網絡司令部、陸軍網絡司令部及西點軍校陸軍網絡研究所等軍方機構共同參與，同時邀請了亞馬遜云科技(AWS)、谷歌、微軟、OpenAI、CrowdStrike和Palo Alto Networks等14家商業科技企業。推演設定于2027年某假想區域的危機場景，旨在執行針對人工智能高頻率、自適應攻擊的防線壓力測試。在場景中，紅方利用新型AI工具發動了連續的網絡攻擊，能夠快速探測漏洞并不斷適應防御動態，而藍方則依賴現有的網絡防御模式進行應對。

推演結果暴露出美軍現有網絡安全運營模式在實戰中的弱點。在當前的防御體系下，盡管藍方可以利用人工智能進行入侵檢測并向安全中心上報異常，但后續的漏洞修補、響應以及物理隔離等操作仍依賴網安工程師進行手動分析與執行。面對紅方AI算法帶來的高頻打擊，這種依賴人工閉環的防御響應速度已經被進攻方的“機器速度”超越。

圖 1 美軍于五角大樓召開的AI TTX 2.0演習

基于上述痛點，此次演習為美軍重塑機器速度時代的數字化防線提供了明確的戰略轉型思路。美軍正加速推動網絡防御體系中的AI從“僅檢測”向“代理式人工智能”(Agentic AI)轉型，使AI在網絡沖突中能夠自主地響應進攻并修補漏洞。同時，美軍還提出建立“風險接受連續體”(Risk Acceptance Continuum)政策框架，以降低AI在網絡防御體系中的時空風險。該框架將根據不同的沖突程度為AI設定差異化的網絡安全監督閾值，從而在戰時合法合規地授權AI智能體跨越人工審批節點，實施自主的網絡防御行動。

美軍現行“人類在環”模式的失效

在傳統的網絡安全運營中心中，防守方普遍僅使用AI進行異常流量與入侵檢測，在生成告警后交由網安工程師執行漏洞修補、規則更新與響應操作。然而，隨著網絡攻擊技術的演進，全球網絡攻擊的平均漏洞利用時間已大幅壓縮，在AI TTX 2.0演習設定的2027年場景中進一步縮短。在面臨大量并發探測與自適應攻擊的壓力時，人類工程師的反應時間、決策周期以及工單流轉速度難以匹配進攻方基于神經網絡與大型語言模型的攻擊頻率。通過人力彌補速度差距已不現實，美軍現有的網絡防御“人類在環”循環也將不再有效。

目前AI驅動的進攻工具已經跨越了輔助生成代碼的階段，演進為具備環境推理、多步規劃和零日漏洞挖掘驗證能力的自主智能體。在自動化漏洞利用生成方面，現有的最新一代工具展現出了較高的成功率。其中，基于多智能體框架的Vulnsage系統在現實軟件供應鏈場景中成功發掘并驗證了146個零日漏洞，其利用成功率比傳統工具高出34.64%。前沿基礎模型如Claude Mythos在未受外部干預的沙盒測試中，自主發現了瀏覽器中的大量零日漏洞，甚至包含了底層系統中潛伏了27年的深層缺陷，并展示了獨立構建漏洞利用鏈的能力。在網絡滲透與橫向移動效率上，進攻方的AI也能夠通過間接提示詞注入等技術，劫持防守方內部的合法AI代理作為跳板，繞過傳統防火墻實施特權濫用。通過結合異構圖神經網絡對網絡拓撲的最優路徑預測，進攻方能夠將現代企業網絡的突破時間壓縮至數十分鐘。由于搭載前沿大模型的AI智能體執行單項網絡挑戰的計算成本較小，進攻方能夠以較低成本發動并發式的飽和打擊，令依賴單線程關聯分析的傳統防御系統癱瘓。

圖 2 AI驅動的漏洞利用工具Vulnsage概述

就演習結果來說，面對進攻方在偵察與漏洞驗證上的速度優勢，美軍的網絡防御體系被迫從AI檢測向AI代理式響應轉變。部署代理式AI完成自動隔離與阻斷成為美軍更新網絡防線的重要選項。在面對同樣的進攻情景時，美軍期望部署在云原生運行時的AI模型上下文協議服務器能在識別攻擊的較短時間內自動生成安全加固策略并凍結高危行為。事件分類、調查與微隔離的執行權限將被交由防御智能體，以期在較短的時間窗口內爭奪網絡控制權。

美軍戰時“AI解綁”帶來的新型攻擊面評估

在AI TTX 2.0中，美國軍方提出建立“風險接受連續體”的策略框架以控制AI解綁帶來的風險。該框架的核心思路是通過界定進攻方網絡攻擊的沖突時期和程度，并對應改變防守方對于AI解綁帶來的風險的接受程度。在和平時期，為了避免AI誤操作導致己方網絡癱瘓，網安工程師必須保留主要控制權;但在戰時，網絡防線被進攻方AI快速突破的安全威脅，超過了防守方自身AI可能產生誤操作的技術風險。因而戰時需要對AI進行權限釋放，允許代理式AI跨越人工審批節點，自主執行高風險的戰術響應。

然而這種將響應權限下放給算法的做法，在技術層面上也擴大了系統的風險敞口。代理系統擁有長期記憶、API調用權限和基礎設施控制權，其失效模式比傳統的靜態軟件更為復雜。權限釋放后的代理式AI面臨著顯著的技術脆弱性，主要包括代理目標劫持和工具濫用。當代理式AI在網絡空間中執行巡邏和防御任務時，需要持續處理外部數據流。如果進攻方采用數據投毒或植入對抗性樣本，防守方的AI可能會產生邏輯偏移。攻擊者可以在流量日志或惡意軟件有效載荷中嵌入隱藏的提示注入指令。當藍方AI讀取這些日志進行分析時，這些指令可能會修改AI的初始防御目標，使其調用已授權的高權限工具關閉防守方的安全策略，或將己方核心資產標記為威脅并執行隔離。這種通過操縱輸入數據來實現工具濫用與目標劫持的技術，是權限釋放后需要應對的主要技術風險。

如果進一步允許高權限的AI進行深度的網絡響應與隔離，其實際效能與風險同時取決于模型本身的推理能力及其調用的工具鏈。近期的前沿模型測試表明，AI具備識別并利用主流操作系統漏洞的能力，并能將多個漏洞組合成利用序列。這種自動化操作通常依賴于模型上下文協議(MCP)等標準，作為AI模型與外部網絡掃描器或漏洞修補框架之間的接口。在賦予AI代理自主防御權限時，如果底層編排邏輯存在缺陷，或外部API接口的鑒權機制被繞過，自動化工具調用將增加系統的不可控性。AI可以在短時間內執行大量腳本，一旦其邏輯產生偏差，響應措施可能會錯誤地作用于中立基礎設施;或者因代碼漏洞導致反向連接，使進攻方能夠通過系統框架的后門獲取高級控制臺權限。

美軍后續動向

AI TTX 2.0推演結束后，美國多個軍事機構、政府部門與相關企業啟動了防線重構的落地項目。美國陸軍加速推進“陸軍人工智能快速實施項目”(Project ARIA)，其項目中的“黑隊”(Team Black)攜手商業科技企業構建“模型軍械庫”，向戰術邊緣下發定制的AI能力;“灰隊”(Team Gray)與“黃石隊”(Team Yellowstone)則分別推進規劃預算流程及后勤供應鏈的智能化。在采辦層面，陸軍通過“FUZE”倡議重塑創新模式，注資7.5億美元以打破傳統的線性采購周期，將AI工具的獲取與部署迭代壓縮至45天以內，并計劃利用快速原型設計權限，在30到90天內于特定網絡防御部隊中開展試點。此外，美國戰爭部正式批準亞馬遜、谷歌、微軟、NVIDIA、OpenAI、SpaceX、Reflection和Oracle八家企業，將其前沿AI能力部署至處理機密數據的IL6和IL7網絡環境中，加速美軍全軍的智能化轉型。為匹配底層架構的變遷，陸軍網絡司令部正基于演習教訓，著手重新制定網絡戰條令。

圖 3 美國戰爭部最新發布的《機密網絡人工智能協議》

總結

美軍網絡防御的發展趨勢將指向代理化轉型。面對攻擊方在漏洞發現與攻擊路徑自適應上展現的“機器速度”，傳統的“檢測-人工響應”模式或被替代。美軍正加速推進代理式網絡防御，推進IL6/IL7機密網絡應用，并考慮建立“風險接受連續體”框架，以在戰時突破“建議、審批隊列、執行”的響應邊界，賦予AI自主防御與隔離權限。

然而，客觀的滲透評估表明該轉型也存在系統性突破點。現階段，美軍網絡安全架構嚴重受制于異構網絡與遺留系統的底層脆弱性。未來，隨著高權限防御AI的實戰化，網絡滲透的核心節點將可能集中于：利用對抗性數據投毒實施代理目標劫持、誘導工具鏈(如MCP協議)自動化濫用，以及利用后量子算法破解持久化AI代理間的加密信任體系。在完善防欺騙框架前，這些脫離人類監管的高度自主防御集群容易成為被敵方隱蔽接管的安全軟肋。(北京藍德信息科技有限公司)

參考文獻

· ArXiv Preprint. Safety-aware AI in military systems: Evaluation frameworks for cyber resilience [R/OL]. (2026-04-15). https://arxiv.org/pdf/2604.05130.

· ExecutiveGov. Army convenes industry leaders for AI tabletop exercise focused on cyber defense [EB/OL]. (2026-04-29). https://www.executivegov.com/articles/army-ai-cyber-exercise-industry-leaders.

· DVIDS. AI TTX 2.0: U.S. Army Cyber Command tabletop exercise visual documentation [EB/OL]. (2026-05-01). https://www.dvidshub.net/image/9650344/ai-ttx-20.

· U.S. Army. Army convenes industry leaders for AI tabletop exercise focused on cyber defense [N/OL]. (2026-04-28). https://www.army.mil/article/292158/.

· U.S. Department of War. Classified networks and AI deployment agreements [R/OL]. (2026-04-30). https://www.war.gov/News/Releases/Release/Article/4475177/.

· Microsoft Azure. DoD Impact Level 6 (IL6) compliance offering [EB/OL]. (2026). https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-dod-il6.

· Let's Data Science. Army pushes AI across force, faces adoption hurdles [EB/OL]. (2026-05-04). https://letsdatascience.com/news/army-pushes-ai-across-force-faces-adoption-hurdles-04afcb06.

· Breaking Defense. Army plans fast follow-up to AI cyber wargame with industry officials [N/OL]. (2026-05-07). https://breakingdefense.com/2026/05/army-plans-fast-follow-up-to-ai-cyber-wargame-with-industry-officials/.

· ACL Anthology. The evolution of language models in high-stakes decision support [J/OL]. (2025). https://aclanthology.org/2025.acl-long.562.pdf.

· LessWrong. Over eight months of progress in two: Analyzing the mythos [EB/OL]. (2026-05-10). https://www.lesswrong.com/posts/siK3JL4S6o9EeT7Jf/.