引言 随着生成式AI、AgenticAI及大模型技术的快速发展,企业数字化系统正从“以应用为中心”向“以AIAgent为中心”演进,业务访问关系、攻击模式以及安全保护对象都发生了根本性变化。AI不仅重塑了企业业务运行方式,也推动攻击从人工驱动演变为自动化、智能化和规模化。传统基于规则配置和静态检测的防火墙已难以应对AI时代未知威胁、动态业务和策略倍增等挑战,网络安全正进入AI驱动的新阶段,AIFW(AIFirewall)应运而生。 AIFW是面向AI时代的新一代智能防火墙,以“稳定可信、高性能防护、智能驱动检测、实时防御、自治运营”为核心设计原则,融合AI原生硬件、大模型、图智能及安全知识,构建覆盖L2–L7的统一安全能力。AIFW不仅具备传统防火墙稳定可靠的网络安全防护能力,还通过GPU/NPU/AI Core实现数据路径上的AI推理,对网络流量、业务行为和AI交互进行全域感知、语义理解、风险推理和意图识别,实现从规则驱动向智能驱动、从静态策略向策略自治、从网络连接控制向业务语义控制的演进,构建真正面向AI时代的AINativeFirewall。 本白皮书围绕AIFW总体架构,重点介绍了AI原生硬件底座、高可靠设计和设备内生安全韧性等基础能力,为AI推理和安全防护提供稳定可信的运行平台;在智能检测与实时防御方面,系统阐述了Inline网络钓鱼检测、DGA恶意域名检测、恶意软件防御、加密流量检测、恶意C&C流量检测、PromptInjection注入防御、非法内容过滤以及基于意图识别的恶意指令过滤等关键技术,实现对传统网络威胁和AI安全风险的实时检测与精准拦截;在安全运营方面,进一步介绍了AI安全助手和基于业务意图的策略自治,通过统一安全语义图、图智能和业务意图理解,实现安全策略的自动生成、持续优化和智能运维,推动安全运营从人工管理迈向自治运营。 在应用实践方面,本白皮书结合员工使用智能体办公、企业开发智能体应用服务、SASE分支安全上网以及SOC安全运营自治等典型场景,系统展示了AIFW在AI办公、AI应用开发、云边协同接入以及智能安全运营等场景中的落地实践,帮助企业实现AI应用全生命周期安全保护,提升安全运营效率,降低运维成本,加速AI业务安全可靠落地。 围绕上述关键技术,华为已在AI原生防火墙架构、高可靠、内生安全、协议栈、AI原生硬件加速、AI安全检测、AIAgent安全防护、统一安全语义图、图智能推理、基于业务意图的策略自治、安全助手及智能运维等多个方向布局1000+核心发明专利,形成覆盖硬件架构、AI算法、系统平台、策略引擎及典型应用场景的全栈知识产权布局,为AIFW持续技术创新、产业化落地及构建下一代网络安全竞争优势提供坚实支撑。 展望未来,随着AgenticAI和AINative基础设施的持续发展,AIFW将从智能安全设备进一步演进为企业AI时代的安全智能中枢(Security IntelligenceHub),持续赋能数字政府、金融、运营商、制造业等行业,为构建更加智能、高效、自主、可信的下一代网络安全体系提供坚实保障。 目录 1.网络安全进入AI时代 1.1AI重塑企业运行模式 1.2AI重塑攻击模式 1.2.1攻击能力大众化:从专业化到普及化1.2.2AI推动攻击链自动化:从单点攻击到全链路编排 1.3AI系统成为新的保护对象 2.防火墙技术演进与AIFW诞生 2.1防火墙技术代际演进2.2NGFW的能力边界2.3AIFW定义 3. AIFW总体架构 3.1AIFW设计原则3.2AIFW部署形态与协同模型3.3AIFW参考架构 3.4AIFW关键技术 3.4.1AI原生硬件底座3.4.2高可靠3.4.3AIFW设备内生安全韧性 3.5关键UseCase 版权所有©华为技术有限公司3.5.1Inline网络钓鱼检测3.5.2DGA恶意域名检测3.5.3恶意软件防御 3.5.4加密流量检测3.5.5恶意C&C流量检测技术3.5.6PromptInjection注入防御3.5.7非法内容过滤3.5.8意图识别—恶意指令过滤3.5.9安全助手—智能管理和运维3.5.10基于业务意图的策略自治 4. AIFW典型应用场景 4.1员工使用智能体办公4.2企业开发智能体应用服务4.3SASE分支上网4.4SOC安全运营自治 5. AIFW行业部署实践 5.1政府:AIFW主动防御,阻断未知威胁5.2金融:AIFW策略自治,助力安全高效运营5.3智算中心:AIFW意图感知,拦截模型输入输出风险 6. AIFW未来展望 网络安全进入AI时代1 AI重塑企业运行模式1.1 过去十余年,云计算、移动互联网、大数据和物联网推动企业完成数字化转型。企业业务逐渐从本地数据中心迁移至云平台,用户访问模式从固定办公网络扩展至随时随地的移动接入,企业网络边界逐步弱化。 当前,以大语言模型(LLM)、生成式AI和智能体(Agent)为代表的新一轮人工智能技术,正在推动企业从数字化迈向智能化。AI能力被广泛嵌入研发、办公、客服、运营和决策流程,企业网络中的交互主体开始从传统的“用户与应用”,扩展为“用户、应用、模型、智能体以及自动化工作流”的协同体系。 这一变化带来了三项根本性改变 企业需要保护的对象从传统的用户、终端和应用,扩展到模型、知识库、Agent、提示词以及AI供应链。模型资产和知识资产正在成为新的核心生产资料。 越来越多业务交互不再由用户直接发起,而是由Agent自主调用模型、工具和业务系统完成。网络流量正在从“Human-to-Application”演进为“Agent-to-Agent”、“Agent-to-Tool”的自动化通信模式。 传统业务主要由人发起决策和操作,而AI时代越来越多业务行为由智能体自主规划和执行。网络中不仅存在访问行为,还存在推理、决策和任务执行行为。 因此,网络安全所面对的已不再是一个静态、边界清晰的IT系统,而是一个由人、应用、模型和智能体共同构成的动态智能系统。 AI重塑攻击模式1.2 与传统攻击相比,AI最大的影响力并非创造新的攻击技术,而是显著降低攻击成本、提升攻击效率,并推动攻击活动向自动化和规模化方向发展。 1.2.1攻击能力大众化:从专业化到普及化 ⚫AI显著降低攻击门槛 传统网络攻击往往需要攻击者具备较强的专业知识和技术能力,而生成式AI正在快速降低这一门槛。借助大语言模型,攻击者可以快速获取攻击思路、生成攻击脚本、挖掘0-day漏洞、编写恶意代码、构造钓鱼邮件以及优化攻击话术。过去需要数小时甚至数天完成的攻击准备工作,如今可以在几分钟内完成。 ✓案例1:AI助力漏洞挖掘导致漏洞数量激增 近期,AI公司Anthropic与Mozilla安全团队合作,利用大语言模型辅助安全研究,在开源浏览器Firefox中发现了22个安全漏洞。传统情况下,漏洞挖掘高度依赖资深安全专家对海量代码进行人工审计,往往需要数周甚至数月时间。而在AI辅助模式下,模型能够快速理解数百万行代码、识别危险函数调用链、发现潜在内存安全问题和逻辑缺陷,大幅缩短漏洞发现周期。该案例表明,AI正在将原本需要专家长期投入的工作压缩到数小时或数天内完成,使漏洞挖掘效率提升一个数量级以上。 ✓案例2:AI驱动的智能化欺诈进入“工业化”规模化时代 当前,网络威胁正朝着工业化社会工程学与高频诈骗方向发展。在生成式AI的 驱 动 下,黑 产 团 伙 正 利 用AI自 动 化 生 成 的 钓 鱼 攻 击、深 度 伪 造(Deepfake)音视频以及合成身份(SyntheticIdentities),将传统的定制化诈骗演变为机器速度与前所未有规模的自动化流水线。 这种威胁的社会与经济影响已在权威数据中得到证实。根据FBI发布的《2025年度 互 联 网犯 罪 报 告》统 计,这类 由 网 络技 术 支撑 的 犯 罪 活 动(Cyber-enabledcrimes)在当年已导致美国民众遭受了近210亿美元的巨额经济损失。事实表明,AI的介入已使社会工程学攻击彻底告别了“手工时代”,转而进入高密度、高成功率的规模化变现阶段。 ✓案例3:AI加速恶意软件演进 AI正在重塑恶意软件的开发与变种生成模式。过去,恶意软件变种的产生主要依赖攻击者手工修改代码、调整配置参数或借助自动化混淆工具进行迭代,其开发效率和变种规模受到人员能力和时间成本的限制。 随着生成式AI的发展,恶意软件开发正在从“人工驱动”向“AI驱动”转变。攻击者可以利用大语言模型快速生成攻击代码、优化攻击逻辑,并根据目标环境和安全产品检测策略动态调整攻击行为,大幅降低恶意软件开发门槛和攻击准备时间,典型变化包括: 恶意代码自动生成 代码混淆自动优化 攻击载荷动态变换根据目标环境自动调整攻击载荷和通信方式 持续生成新的代码结构和执行逻辑,提高规避检测能力 自动生成下载器、后门、窃密模块等攻击组件 恶意行为自动重组 沙箱逃逸策略自动优化 组合不同攻击技术形成新的攻击链和变种 针对检测机制自动生成规避和绕过方案 与此同时,地下黑产生态已出现超过十余种基于GPT能力改造的恶意软件生成平台和“Malware-as-a-Service(MaaS)”服务。攻击者仅需支付10~200美元/月,即可获得代码生成、样本变种、混淆优化和攻击自动化等能力支持。原本需要专业恶意软件开发团队数周完成的工作,如今可在数小时内完成,并能够批量生成海量规避检测的新型变种样本。 AI驱动下,恶意软件正在从“手工作坊式开发”演进为“工业化流水线生产”。攻击样本数量、变种速度和攻击复杂度呈指数级增长,攻击链构建周期从周级、月级压缩至小时级甚至分钟级,对传统依赖特征库、签名匹配和静态规则的检测体系带来前所未有的挑战。 1.2.2AI推动攻击链自动化:从单点攻击到全链路编排 根据Anthropic发布的GTG-1002技术报告指出,网络攻击正在经历一场范式转变——从传统的“单点工具自动化”向“全链路智能编排”演进,网络安全已正式迈入“代理式端到端攻击(Agentic,End-to-EndAttacks)”时代。 ⚫核心机制:基于LLM的自主链式反应 传统自动化攻击高度依赖预设脚本,而新一代威胁则基于大语言模型(LLM)与智能体(Agent)技术。这种AI驱动的攻击系统具备深度的环境感知、动态决策和自主执行能力。报告及前沿研究表明,AI智能体能够完全自主地将以下复杂的多步攻击序列有机串联,实现闭环执行“目标侦察→资产发现→攻击路径规划→ 权限获取→横向移动→数据获取”,与传统工具相比,其核心突破在于动态自适应:系统能根据上一步的反馈结果(如防御系统的拦截、环境的变化)实时调整并重新规划后续行动,直至达成攻击目标。 ⚫组织形态:从“人工操作”到“智能体协同 事实证明,这种自主链式反应正在大幅降低高阶攻击的门槛。过去,上述全链路攻击需要由具备深厚底层知识、经验丰富的专业黑客(Human Operators)手工完成决策与衔接;而现在,通过多个专业化AIAgent的协同作业,不同智能体各司其职、互通上下文,即可流水线式地完成任务。 AI系统成为新的保护对象1.3 除了攻击能力增强外,AI本身正在成为新的安全保护对象。根据行业研究,随着生成式AI和智能体(Agent)技术的广泛应用,企业网络中的机器身份(Machine Identity)数量正在快速增长。预计未来几年,机器身份数量将超过人类身份数量的80倍以上。智能体、API、工作负载、自动化脚本以及各类AI服务将逐渐成为企业数字基础设施中的主要参与者,网络交互模式也将从“人-机交互(Human-to-Machine)”演变为“机-机交互(Machine-to-Machine)”。 与传统软件不同,生成式AI基于概率推理和动态决策机制运行,其行为边界更加复杂,也引入了传统安全体系未充分覆盖的新型风险。 与此同时,生成式AI正在从单一的信息