国际信息系统安全认证联盟(ISC2)宣布将在其整个网络安全认证组合中融入AI安全概念,发布了新的考试指导,涉及AI系统安全保护和AI相关风险管理。这标志着网络安全教育标准的首次重大改革,明确将AI威胁和防护作为核心能力而非可选附加内容。
这一举措反映了网络安全行业迟来的认识:AI不仅仅是另一个工具——它正在根本性地改变攻击面。我们已经看到野外出现AI驱动的攻击,从deepfake社会工程到自动化漏洞发现,而组织却在不了解安全影响的情况下匆忙部署AI。ISC2决定在所有认证中强制要求AI安全知识,表明防御AI威胁现在已成为网络安全专业人员的基本要求。
ISC2公告中缺失的是对认证专业人员落后程度的任何承认。新指导不会立即生效,现有认证专业人员在下次再认证周期之前不需要证明AI安全能力。与此同时,攻击者已经在武器化AI,而大多数安全团队在保护自己的AI实施时仍在盲飞。
对于开发者和AI构建者来说,这次认证更新不会解决你们的即时问题。你们仍然需要现在就实施AI安全实践——模型验证、prompt注入防护、输出过滤——无论你们的安全团队名字后面是否有正确的字母。认证工业复合体行动缓慢;你们的对手可不会。