招聘帖里的地缘政治炸弹:DeepSeek正在把AI变成网络武器

2026年7月1日,澳大利亚战略政策研究所(ASPI)发布了一份不太起眼的简报。标题很技术性:「DeepSeek计划构建具备网络安全漏洞发现能力的AI Agent」。

但这份简报的含义,比标题看起来严重得多。

一份招聘帖里藏着的战略意图

DeepSeek是谁,大多数人已经知道了。2025年初,这家由中国量化基金幻方科技孵化的AI公司,用一个在成本上只有OpenAI同类产品零头的模型,短暂撼动了整个美国AI市场。但DeepSeek并没有停在那里。

ASPI的研究员Patrick Buchan和Albert Zhang在仔细分析了DeepSeek最新一轮招聘公告后,发现了一些不寻常的内容。在一系列技术性职位描述中,有一类职位的核心能力要求是:构建能够自动发现代码漏洞的AI Agent系统

根据ASPI简报的具体描述,这些职位要求包含:

  • 「代码漏洞自动化扫描」
  • 「利用链构建与验证」
  • 「网络攻击路径分析Agent」

ASPI研究员特别指出:这类语言出现在公开招聘帖中是不寻常的。通常情况下,具有安全敏感性的研发项目描述会经过仔细审查,刻意模糊技术细节。DeepSeek的公开描述如此直白,要么是公司内部对外部解读不敏感,要么是刻意测试西方反应——目前尚无法判断哪种可能性更高。

区别很重要:防御性安全工具帮你找到自己系统里的漏洞;进攻性安全工具帮你找到别人系统里的漏洞

从问答LLM到攻击性AI:这个转变意味着什么

在过去两年里,AI在网络安全领域的应用主要集中在两个方向:

  1. 帮助安全工程师更快地分析威胁日志
  2. 协助开发者在代码审查阶段识别潜在漏洞

这两个方向都是防御性的、辅助性的。人类仍然是决策者,AI只是工具。

DeepSeek招聘帖描述的,是一个不同的图景:一个能够自主发现目标系统漏洞、构建利用路径、并验证攻击可行性的AI Agent

这里的关键词是「自主」。

当AI能够自主完成从漏洞发现到利用验证的完整攻击链,人类的角色就从「操作者」变成了「启动者」。这个区别类似于从手动驾驶汽车到按下按钮发射导弹。

网络安全研究机构Recorded Future在2026年初的一份报告中估计,一个熟练的进攻性AI Agent系统,可以将漏洞发现的速度提高7到12倍。对于需要在被发现前快速穿透目标系统的攻击者来说,这个倍数是决定性的优势。

DeepSeek为什么要做这件事

在继续讨论之前,我们需要停下来做一个公允的判断:进攻性安全研究并非天然邪恶

世界上绝大多数大型科技公司和政府机构都有所谓的「红队」——专门模拟攻击者视角来测试自身防御能力的团队。谷歌有Project Zero,微软有MSRC,美国国家安全局有整个部门在做这件事。招聘能做进攻性安全的AI工程师,不等于在构建武器。

那么DeepSeek的情况有什么特别之处?

ASPI报告给出了3个值得关注的上下文:

第一,DeepSeek的背景。DeepSeek的母公司幻方科技是中国最大的量化基金之一,与中国科技生态的政策关系密切。与谷歌或微软不同,中国科技公司在实质上无法拒绝政府对其技术的访问需求。这是习近平2015年颁布的《国家安全法》的直接约束:任何中国公民或组织在涉及国家安全时必须配合。

第二,公开而非保密。令ASPI研究员感到意外的是,这些招聘信息是公开发布的——在DeepSeek的官方招聘页面上。通常情况下,真正的进攻性网络安全研究是最高度保密的项目,不会出现在公开招聘中。这可能意味着:(a)这是真实的公开研究项目,DeepSeek没意识到或不在乎外界的解读;(b)这是某种形式的「信号」,用来测试西方的反应;(c)这些职位描述的措辞是标准行业语言,外部解读可能过度。

第三,时间节点。这些招聘帖出现在DeepSeek获得国际声誉之后、中美科技战升级的背景下。在这个时间窗口,任何涉及「攻击性AI能力」的信号都具有特殊的地缘政治重量。

西方安全界正在如何应对

ASPI这份简报发布后,在英语安全研究社区引发了一定反响,但尚未形成政策层面的正式回应。

几个值得注意的动态:

美国国家安全局(NSA)的立场:NSA在2026年6月发布的年度网络安全威胁报告中,将「AI增强型进攻性网络能力」列为新兴重大威胁之一,但没有点名任何特定机构。

欧盟AI法案的空白:欧盟AI法案(2026年开始部分生效)在分类上将「专门用于进攻性网络安全目的的AI系统」列为高风险类别,但该分类的执行细则仍在讨论中。更关键的问题是:欧盟法案对中国公司没有管辖权,无法约束DeepSeek的研发活动。

五眼联盟的预警:2026年6月,五眼联盟(美英澳加新)联合发布了一份AI安全警告,特别提到「来自外国实体的AI赋能网络威胁在2026年显著升级」。ASPI作为澳大利亚的战略智库,与澳大利亚情报机构保持密切的信息交流,这份简报的发布时机显然不是巧合。

更深的问题:我们如何为AI武器化划一条线

DeepSeek事件的核心矛盾,是一个任何国家都还没有真正回答的问题:在AI领域,什么才算是「军备竞赛」的触发点?

在核武器时代,答案相对清晰:裂变装置、投放系统、指挥控制网络——每一个关键节点都有明确的国际条约框架(尽管这些框架往往形同虚设)。

在AI领域,这个边界完全模糊。

考虑以下几个渐进式场景:

  1. AI帮助人类安全研究员更快找漏洞(几乎所有人都认为可以)
  2. AI全自动完成漏洞发现但需要人类确认才能继续(有争议但可接受)
  3. AI全自动完成漏洞发现和利用构建但需要人类「发射」(红线在哪里?)
  4. AI全自动完成整个攻击链,人类只决定打谁不打谁(这是武器了吗?)

DeepSeek招聘帖描述的,大约处于第3级和第4级之间。而ASPI报告的核心警告是:从第3级到第4级的技术距离,正在快速缩短

麻省理工学院安全研究员Bruce Schneier在2026年4月的一篇文章中提出了一个挑衅性问题:「当一个国家开发出可以攻击任何联网系统的AI Agent,并且这个Agent只需要一个IP地址就能开始工作时,我们还有什么威慑机制?」

目前,没有人有好的答案。

「双用途」技术的永恒困境

这里还有一个更基本的技术层面问题:进攻性和防御性AI安全工具,从技术上说是同一件东西

能找到A系统漏洞的AI,同样能找到B系统的漏洞。能构建攻击路径的AI,同样能模拟攻击路径来验证防御。这种「双用途性」(dual-use nature)是网络安全领域的基本特征,AI的出现只是把这个特征放大了。

这意味着:你无法通过禁止技术本身来解决问题

1996年的《瓦森纳协定》试图通过出口管制来限制”双用途”技术的扩散,结果是网络安全工具的灰色市场在全球蓬勃发展。同样的逻辑适用于AI安全工具:你限制了美国公司的研发,但无法限制中国研究者在中国的研发。

有一种可能更有效的路径是:建立基于行为而非技术的规范框架。不是禁止「开发能找漏洞的AI」,而是建立「AI网络能力不得在没有明确授权的情况下对他国基础设施使用」的国际规范——类似于生化武器公约的逻辑,但针对AI。

问题是,在当前的中美关系框架下,达成这样的双边协议,几乎没有任何政治可能性。

如果DeepSeek成功了,这个世界是什么样的

假设DeepSeek(或者更一般地说,任何具备这类能力的AI实验室)成功构建了一个高效的进攻性网络安全AI Agent,并且这个Agent被以某种方式部署或扩散,会发生什么?

场景一:国家武器化。中国政府通过国家安全法框架获取访问权,将该Agent用于国家支持的网络行动。这是西方安全界最担忧的路径,也是ASPI报告隐含的核心威胁假设。

场景二:商业化扩散。DeepSeek或类似机构将该技术商业化,以某种形式出售或开源。鉴于DeepSeek此前将其基础模型开源的历史,这不是不可能的。如果进攻性AI安全能力变得像今天的漏洞扫描工具一样普及,网络安全的攻守平衡将彻底颠覆。

场景三:军备螺旋。西方安全机构和科技公司(包括OpenAI的Daybreak、Anthropic的安全研究团队、Google的Project Zero等)开始加速开发类似能力,在「防御必须领先于进攻」的逻辑下形成全球范围内的AI军备竞赛。

这三个场景并不互斥,可能同时发生。

我们现在应该做什么:从诊断到行动

ASPI报告提出了警示,但政策界实际上可以做的事情,比听起来要有限。以下是一些现实可行的方向:

增加透明度:要求在特定语境下(如接受政府资助的研究)披露进攻性AI安全能力的研发情况。这并非针对中国,而是针对所有行为者的普适要求。美国国防高级研究计划局(DARPA)的AI Cyber Challenge项目本身已经是公开的——这个标准如果被推广,对所有国家都是对等适用的。

建立技术护栏标准:工业界(而非政府)主导建立「AI安全能力的自愿披露」框架,类似于今天的CVE漏洞披露系统,但针对AI赋能的安全工具。这个框架不能强制约束非参与国,但可以为「AI军备控制」建立最初的规范基础。

在外交渠道建立沟通机制:即使中美政治关系紧张,在网络安全领域保持技术层面的有限对话仍然有价值。2015年中美网络安全工作组在奥巴马政府时期曾短暂有效运作——那个历史先例说明这类对话并非不可能。

对AI安全工具出口设立专项审查流程:现有出口管制框架对AI工具的处理还在摸索阶段。针对具有明显进攻性安全用途的AI系统建立专项审查通道,可以在不阻止正当研究的情况下,为最高风险的能力扩散提供一道关卡。

这些措施都不能阻止一个有意愿的国家开发进攻性AI安全能力。但它们可以提高成本、建立规范预期、并为未来更强力的国际协调打下基础。

那些正在悄悄做同样事情的西方公司

在批评DeepSeek之前,有一个不舒服的事实需要说清楚:西方的科技公司和国家安全机构,同样在做类似的事情,只是通常不会出现在公开招聘帖上

Google Project Zero的研究员曾公开展示过能够自动化漏洞发现的机器学习系统。DARPA(美国国防高级研究计划局)自2023年起开始资助「AI Cyber Challenge」项目,明确目标是开发能够自动发现和修复软件漏洞的AI系统。2026年6月,OpenAI与Anthropic联合成立的「Daybreak Initiative」也将「防御性进攻安全AI」列为核心研究方向。

区别在于:

  • 西方公司的类似研究通常被标注为「防御性」或「进攻-防御双向」
  • 西方公司受到的监管框架更强(至少在理论上)
  • 西方公司(大多数时候)可以拒绝政府的访问请求

但如果我们诚实地面对这个问题:一个能够「自动发现代码漏洞、构建利用路径」的AI系统,无论它是谁开发的,其技术本质上都是相同的。

将DeepSeek的行为单独定性为威胁,而将西方同类研究称为「安全工具」,这本身就是一种地缘政治框架的选择,而不是纯粹的技术评估。

承认这种双重标准,并不意味着对DeepSeek的警惕是错误的。但它确实意味着:任何有效的规范框架,必须同时约束所有行为者,否则只是强者为自己制定的规则。

结语:招聘帖里的未来

一份公司招聘帖不是战争宣言。DeepSeek可能只是在按照商业逻辑扩展产品线,其进攻性安全能力的研发可能完全出于防御目的。我们不应该把技术可能性等同于政治意图。

但ASPI报告提出了一个更根本的问题:在AI时代,当「双用途」技术的能力曲线以指数级增长,我们是否需要在技术扩散之前,就开始讨论规范框架?

过去,每一种重大的「双用途」技术(核能、基因编辑、网络武器)都是在技术已经扩散、伤害已经发生之后,才开始真正的国际规范讨论。AI可能是第一种有机会在主要危害发生之前就建立规范的技术——但这个窗口正在快速关闭。

还有一个更令人不安的问题:即使建立了规范框架,谁来执行?在核武器时代,我们有IAEA和核查机制。在AI能力领域,我们甚至没有一个关于「什么算作AI进攻武器」的共识定义。

DeepSeek的招聘帖或许不是这扇窗口关闭的信号,但它是一个警告:我们需要在还有窗口的时候开始真正的讨论,而不是等到AI Agent开始自动攻击全球基础设施的那一天,再去争论谁该负责。


参考资料

  • ASPI Strategist: “DeepSeek plans to build an AI agent with cybersecurity capabilities” (Patrick Buchan & Albert Zhang, July 1, 2026)
  • NSA Annual Cybersecurity Threat Report 2026 (June 2026)
  • Five Eyes Joint Cybersecurity Advisory on AI-Enhanced Threats (June 2026)
  • Bruce Schneier, “AI and the Future of Cyber Deterrence,” MIT Security Studies Quarterly (April 2026)
  • Recorded Future, “AI-Accelerated Offensive Security: Market Assessment” (Q1 2026)