摩根大通首席信息安全官在RSA大会前发出警告

旧金山——本周，RSA 2025 大会拉开帷幕，但同时出现了两种相互竞争的说法。 

一方面，摩根大通首席信息安全官帕特·奥佩特（Pat Opet）发表了一封公开信，警告软件即服务供应商“便利性不能再超越控制”，并称当前基于 OAuth 的云模型“单点故障可能会对整个系统造成灾难性的后果”。

另一方面，风险投资支持的初创公司将在展会上进行昂贵的演示，并宣称人工智能最终将能够解决企业网络安全防御的所有问题。 

这种尖锐的风险现实主义与热烈的人工智能宣传之间的紧张关系，为这场有 4 万多人聚集在一起讨论商业事宜的领头羊会议奠定了明确的基调。 

Opet 的信函在会议召开前几天发布，其影响力堪比一次清醒测试。他认为，仓促的发布和“只读”权限范围已经摧毁了数十年的安全边界，一家超大规模提供商的漏洞可能会瞬间波及全球银行系统。 

软件供应商之间的激烈竞争导致他们优先考虑快速功能开发，而非强大的安全性。这通常会导致产品仓促发布，而这些产品往往缺乏内置或默认启用的全面安全功能，从而给攻击者提供了反复利用漏洞的机会。Opet 表示。

他直言不讳地警告说：“以牺牲安全为代价来追求市场份额，将使整个客户生态系统面临重大风险，并将导致经济体系陷入不可持续的局面。”

摩根大通安全主管呼吁软件供应商优先考虑默认安全和有弹性的架构、可证明的控制和更丰富的授权模型。

在莫斯康展览中心，这些话似乎被置若罔闻，因为人工智能的炒作在展会现场的吸引力显而易见。“代理人工智能”已经成为展位图形上的一个热门关键词，而非正式的比赛则取决于谁能展示一个聊天机器人能够施展神奇的魔力，从而“改造安全运营中心 (SOC)”或提供“数字化网络员工”。

该大会本身由一家投资机构拥有和运营，如今已重塑了其“造王者”的角色。长期举办的创新沙盒初创企业大赛现在将为十位决赛入围者提供500万美元的无上限SAFE投资，入围者一上台即可获得。 

2025 年的世代将以人工智能为主导，这一点毋庸置疑。Aurascape 和 EQTY Lab 正在销售自主代理的防护栏；CalypsoAI 和 Knostic 承诺提供推理层策略执行；Command Zero 推出一键式事件重建功能；Twine 指派一位名为 Alex 的“人工智能员工”负责身份识别工作；ProjectDiscovery 利用开源扫描技术对抗云蔓延；Smallstep 试图控制设备身份；MIND 实现数据丢失防护自动化；Metalware 则在操作系统底层进行固件模糊测试。 

预计市场将出现两大阵营。微软、Palo Alto Networks、CrowdStrike 和思科等平台巨头将推出能够编写检测规则和自动关闭工单的“副驾驶”服务，并押注在熟悉的主机上添加人工智能技术，会让注重成本的买家感到更安全。 

在另一边，拥有大量风险投资资金的初创公司会声称，传统的数据模型无法实现飞跃，而绿地架构才是释放人工智能速度的唯一途径。  

今年，RSA 大会似乎抓住了行业的中期转折点，在市场怀疑与机器学习可能最终将胜负从攻击者转向防御者的顽固乐观之间取得平衡。 

对于任何在博览会现场漫步的人来说，问题仍然存在：哪些展位在销售真正的自动化产品，哪些展位又在进行炒作周期的再次旋转？  

更重要的是，会有人听取并重视Opet的纪律要求吗？大量财富100强买家会开始将“向我展示你的默认安全姿态”的条款写入主服务协议吗？  

一个价值数十亿美元的产业已经抵达旧金山寻求答案。

原文始发于微信公众号（河南等级保护测评）：摩根大通首席信息安全官在RSA大会前发出警告