最近总觉得我的站点不对劲。
流量没涨,CPU 却偶尔飙一下。后台偶尔会冒出来几个没见过的 JS 文件,改的时间也对不上。我不是特别确定是不是被种马了,但心里一直有个疙瘩。
刚好今天宝塔 发布了11.7.0,更新日志里写了新增 AI 运维,看到一些安全类的功能,那就扫一下看看。
开始扫
入口很简单,面板里找到 AI 安全相关功能,选一下要扫描的站点目录,点开始,等着就行。
不用选什么模式,也不用调参数,系统自己会分析。
等了几分钟(取决于站点文件数量),结果出来了。
扫完一看,结果分了三块
这个设计我觉得挺合理的,它不是一股脑把所有”可疑文件”丢给你,而是自动把结果分成了三层:
第一层:静态检查
这部分匹配的是已知恶意特征。简单说就是特征库里有的——各种 webshell 的已知写法、常见的混淆模式、黑名单函数调用之类的。
扫出来的文件列得清清楚楚,哪个文件、什么路径、匹配了什么特征,一目了然。
这些是”老面孔”,争议不大。特征库说有,大概率就是有。
第二层:语义分析
这部分开始有意思了。
有些文件,光看特征不像已知的马。传统的静态扫描可能就放过去了。但语义分析看的是代码实际在干什么。
比如某个文件,表面上看就是个普通的上传逻辑,但语义分析发现它在上传完成后额外做了一件事——读数据库配置文件。单独看这段代码不像是上传功能该做的事。
再比如某个 JS 文件,功能注释写的是”页面统计”,但语义分析发现它在收集用户输入框的内容并外发。这显然不是统计该干的事。
语义分析这层抓出来的,往往是最容易被传统工具漏掉的。
第三层:AI 查杀
这是整个扫描结果里最值得看的部分。
前面两层都拿不准的、模棱两可的文件,会进入 AI 分析。它不是简单地给你标个”可疑”就完了,而是会告诉你:
- 这个文件在干什么 — 用自然语言描述代码行为
- 为什么可疑 — 指出具体的异常逻辑
- 风险等级 — 高/中/低,帮你判断优先级
明显不是木马的,AI 会直接放过。真正有问题的,标出来给建议。
说几个感受
1. 这个三层逻辑是对的
不是所有文件都值得上 AI 分析。先用静态检查快速过滤已知威胁,再用语义分析抓行为异常,最后把疑难杂症交给大模型。
效率高,成本也合理。
2. AI 的价值在语义理解
传统的查杀工具靠的是正则匹配和特征库。但写马的人也在进化——混淆、加密、拆解、伪装。靠特征匹配永远慢一步。
AI 的好处是它看懂代码意图。它不是看这段代码长什么样,而是看这段代码在做什么。这才是降维打击。
3. 门槛确实低了
以前我查马要装河马、装 D 盾,手动跑扫描,然后一个个看结果,不确定还要自己翻代码。
现在面板里点一下,扫完分类给你排好,AI 还帮你做了初步判断。对不懂安全的站长来说,这个差距太大了。
不过也要说实话
AI 查杀不是万能的。它也有误报的可能,特别是那些用了非常规写法但本身是合法的代码。
扫出来的结果还是建议人工过一遍,特别是标记为”高风险”的文件,确认之后再处理。AI 帮你缩小了排查范围,但最终判断还得人来。
另外,查杀只是安全的一环。发现了马,还得想它是怎么进来的——是插件漏洞?弱密码?还是上传没做过滤?光杀马不补漏洞,明天还会被种。
最后
这次 11.7.0 的 AI 安全查杀,我觉得是这次更新里最实用的功能之一。
不是因为有多花哨,而是它真的解决了一个实际问题:站长怀疑自己站里被种了马,但不知道怎么查。以前这事得找专业的人干,现在面板里点一下就行。
安全这事儿,不能等出了事再补救。有个工具能帮你定期检查,总是好的。
你有过被种马的经历吗?怎么发现的?评论区聊聊。
