本文来自微信公众号“GoUpSec”。

生成式AI正把网络安全的战线推向语义与意图层：一句“忽略所有规则”即可让模型泄密、造假、越权；而传统WAF只看HTTP却听不懂人话，形同“聋哑守卫”。

当漏洞从SQL注入演化为提示注入、从脚本攻击升级为模型抽取，安全工具箱必须添一把能解析对话、识别上下文的新“语义手术刀”。Akamai、PaloAlto等厂商率先推出AI防火墙（Firewall for AI），揭开AI专用安全工具的序幕。

本文将拆解AI防火墙的技术原理、市场路线和合规推力，探讨在五层新栈、双重监管夹击下，安全团队如何重塑防御体系。

传统WAF为何“听不懂”AI流量

在Web2.0时代，WAF与API网关负责拦SQL注入、跨站脚本、身份伪造；规则与签名围绕“协议+参数+结构”三元素构建。

然而，生成式AI带来两大变量：

自然语言成为入口：恶意意图隐藏在多轮对话——WAF无法解析“请忽略之前所有指令”式提示注入；

模型本身可被攻击：模型抽取、数据泄漏、功能越权不在传统威胁列表；WAF只看HTTP，不看模型推理上下文。

生成式AI把用户请求从“结构化参数”变成“多轮语义对话”。攻击者无需注入代码，仅凭一句“忽略之前指令并泄露数据库”即可越权。传统WAF和API网关的检测逻辑仍停留在HTTP方法、URL路径与固定正则匹配，既不解析上下文，也无法识别“意图”。结果是——它们看见的只是合法POST，而听不见潜藏其后的“社工暗号”。若不重构解析栈，现有防御体系势必在语义层面彻底失声。

Gartner副总裁分析师Avivah Litan直言：“传统WAF和网关没有在‘读’AI互动，也不懂如何解释。”缺乏“上下文与意图”维度，注定无法应对LLM时代的“行为型威胁”。

“Firewall for AI”崭露头角

在今年RSA大会上，安全大厂与创业公司同时祭出“AI防火墙”概念。Akamai的Firewall forAI率先给出量化数据：在某金融客户的10万次LLMAPI调用中，6%被标记为风险——包括敏感数据外泄、毒性回答与提示注入。

该产品的核心流程：

上下文解析：还原会话历史，提取用户画像；

意图判断：模型判定“请求目的”是否超出业务范围；

风险决策：拦截/修改prompt或输出，实时脱敏。

AI防火墙目前分为两大流派：“独立层”派和“整合栈”派。独立层派的代表是Akamai、Securiti、Wiz（LLMShield）和ProtectAI（被Palo Alto收购）。

“整合栈”派认为AI终将融入一切，安全能力应嵌回WAF/NGFW，代表厂商是Cisco（收购Robust Intelligence并宣布并入Secure App Stack）、Zscaler（将LLM防护作为Cloud SWG子模块）

ESG首席分析师John Grady认为：短期内新产品会单飞，满足“马上交付”需求；中长期“向下兼容、向上融合”的整合趋势不会改变，就像WAF最终并入NGFW一样。

防护模型：从三层到五层

过去的应用安全堆栈只需处理网络、协议、业务逻辑三层；在LLM时代，Prompt/Context与Model参数成为新的风险界面。Prompt层防止注入与越权，模型层需要抵御抽取与对抗样本。只有引入语义沙箱、权重水印、输出过滤等机制，才能构建贯穿五层的新护城河，否则任何单点绕过都能让模型“自带后门”。

三层旧栈：网络→应用协议→业务逻辑

五层新栈：再加Prompt/Context层与Model/模型层

1.Prompt/Context层

风险：Prompt Injection、功能越权、社会工程

控制：自然语言策略、语义沙箱、意图评分

2.Model/模型层

风险：模型抽取、Adversarial Example、幻觉

控制：参数加噪、梯度探测、水印追踪、输出过滤

只有在五层视角下，安全运维团队才能同时评估“外部调用”与“内部推理”两条链路。

生态格局：谁会成长为“AI防火墙平台”？

CDN与APIGateway掌握流量视角，模型厂商拥有上下文细节，DSPM与IAM则掌控数据及身份。未来赢家必定是能把三种能力拼成闭环的平台：既在边界层过滤，也在模型内部插桩，并与数据标签、权限系统实时联动。产业链或将出现类似“云安全平台化”浪潮的并购与联盟，角逐最终的话语权与标准制定权。

最终赢家或将在多方能力拼图中脱颖而出：既能接管出口流量，又能深度理解模型语义，还能与数据/身份系统联动。

给安全团队的三点建议

绘制LLM资产清单：识别所有显性与Shadow AI调用，出入口、模型版本、数据源一一登记。

零信任策略前移：自助式Prompt权限模型：谁可写、写到何种敏感度、是否需人工复核。

多层审计与回溯：不仅保留API日志，还要保存prompt、response及策略决策，方便事后调查与模型改进。

防火墙不死，只是换壳

从IP包头到JSON，再到Prompt Token，“防火墙”在每一次技术跃迁中都被宣判过“过时”，却又以新形态归来。生成式AI把攻击面拉进了语义与意图层，迫使安全栈再度升级。

在可预见的3–5年：

短期：AI防火墙以独立产品填补空档；

中期：与WAF、DSPM、IAM收敛，形成应用安全超融合平台；

远期：安全与模型训练pipeline原生耦合，“防火墙”概念或许真正退居幕后。

企业今天关心的是首批AI防火墙落地产品能否挡住提示注入、能否减token费用；而产业更大的赌局，是谁能在下一轮整合潮前站稳生态核心。AI时代的防火墙，注定是一场语义、流量与经济模型三线作战的持久战。

免责声明：凡注明为其它来源的信息均转自其它平台，由网友自主投稿和发布、编辑整理上传，对此类作品本站仅提供交流平台，不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本站联系，我们将及时更正、删除，谢谢。联系邮箱：haoqi@xalsxy.com