思科Live大会：网络核心回归，AI重塑基础设施

过去十年，网络在企业战略中常被有意边缘化——云优先架构将交换与路由功能降级为通用商品，几乎隐藏在软件定义层之下。而AI基础设施的爆发式增长，彻底扭转了这一局面。思科基础设施与安全集团高级副总裁兼总经理汤姆·吉利斯（Tom Gillis）对此有清晰洞察，而这一切的起点，仍是网络。

在刚落幕的思科Live大会上，思科推出了一系列安全与基础设施新能力，涵盖漏洞防护、网络执行与智能体访问控制等方向。其核心逻辑直截了当：网络，正重新成为基础设施的核心。

AI时代中网络承担的新角色

吉利斯用了一个比喻：在AI时代，网络的作用相当于过去单台服务器内部的PCI总线。分布式AI系统需要内存、计算、GPU与存储在大规模物理基础设施上高效协同，而网络正是支撑这一切运转的“背板”。因此，客户开始将网络视为唯一真正可靠的依赖。“基础设施需要一套全新的运营模式，”他在接受《Network World》采访时直言不讳。

AI编程工具突破代码规模天花板

这一变革同样体现在思科内部研发组织中。吉利斯领导一支约12000人的软件开发团队，AI编程工具已极大改变了团队的工作方式。早期AI编程工具在新项目上效果显著——一个五到十人的小团队，能完成过去百人耗费一年才能完成的任务。但在处理复杂遗留产品时，这些工具遭遇瓶颈：一款Catalyst交换机或思科防火墙的代码量可能高达五千万到一亿行，远超早期模型单次能处理的上下文范围。新一代AI编程工具突破了这一限制，使思科能在整个产品线加速研发。

在加速的同时，漏洞发现能力也在跃升。以Anthropic的Claude Mythos为代表的先进AI模型，如今能理解完整的复杂代码库，并识别出人类以往难以察觉的安全漏洞。“前沿模型正在以前所未有的规模发现漏洞，而且这是持续性的，它们会不断找到新的漏洞，”吉利斯指出。这意味着，传统的“配置完锁好就不管”的模式已彻底失效。

基于eBPF技术的实时漏洞防护

传统数据中心如何应对漏洞？先构建配置，再测试验证，锁定后便不动了。但问题在于，交换机和路由器是高内联系统，更新时需要下线操作——这也是客户很少主动更新的原因。当AI开始持续不断地发现漏洞时，依赖“锁死”策略已无法跟上节奏。思科的解决方案基于Isovalent平台，该平台源自开源项目Cilium，核心是内置于Linux内核中的eBPF技术。

“eBPF的强大之处在于，我们能检查内存、观察内存中的实时状态，拦截每一个系统调用和函数调用，并对其进行修改，”吉利斯解释。基于eBPF的功能在思科平台中催生了多项新能力，其中最受关注的当属Live Protect。这项功能直接内置于NXOS和IOS等网络操作系统中，可针对特定进程ID和文件设置补偿控制——在不影响系统其他部分的前提下，精准屏蔽特定操作。对管理员而言，操作流程就是：在Nexus控制面板中看到一个漏洞标记，点击按钮即可启用防护。“我们引入了一种能力，可以在不重启、不触碰、不修改运行中系统二进制文件的情况下，对其施加补偿控制。”这几乎是业界长期追求的能力。

统一架构：虚拟机、容器与AI工作负载并行共存

Live Protect和Isovalent平台解决的是当下基础设施的安全挑战。但基础设施本身也在转型，思科正为大多数企业的实际处境——而非单一的远期愿景——进行布局。“企业的大多数工作负载还不是AI，他们对AI充满热情，AI转型会很迅速，但绝大多数工作负载仍基于虚拟机，”吉利斯说，“虚拟机已存在二十年。因此，我们对企业未来数据中心的愿景是：Kubernetes成为运行所有应用的编排层。”

瓶颈在于网络层。VMware运行在第二层，Kubernetes诞生于云端，运行在第三层。传统上，将虚拟机从VMware环境迁移至Kubernetes，意味着重新设计其与其他系统的连接方式——成本高、风险大。思科基于Isovalent的软件桥接方案允许虚拟机逐台迁移，且无需更改IP地址。最终效果是：传统虚拟机工作负载、容器化应用与AI工作负载能在同一基础设施上并行运行，企业无需强制全量迁移。在思科Live大会主舞台上，吉利斯现场演示了这一愿景：基于虚拟机与基于Kubernetes的工作负载作为对等节点同时出现在Nexus控制面板中，底层由基于Isovalent的软件桥接处理第二层到第三层的转换。

智能体访问控制：为AI智能体设定任务级权限

本次发布内容应对的是当下的基础设施挑战，而下一个挑战已清晰浮现。随着AI智能体开始替代用户在企业系统中执行操作，网络面临一个此前从未被设计考虑的访问控制难题。典型的企业用户通过密码访问数百个应用，凭证每六个月轮换一次。若将同等访问权限授予智能体，权限范围显然过宽。“我们需要为智能体设定基于任务的控制——更短暂、更精细，”吉利斯打趣说，“一个被授权提交费用报告的智能体，不应有权限发起采购，我可不想让它去买一辆保时捷。”

思科通过其安全服务边缘（SSE）解决方案Cisco Secure Access以及混合网格防火墙来解决这一问题，控制粒度细化至任务级别和会话级别，同时覆盖用户到应用、服务器到服务器两种场景。展望未来，吉利斯表示思科计划在秋季发布更多公告——“我们将在秋季推出一些我认为会令人震惊的公告”——但他未透露细节。他的近期愿景是打造一套跨越所有应用类型的统一基础设施架构：“一年后，我希望客户能意识到，我可以用同一套设计、同一套架构，同时为明天的AI应用、今天的Kubernetes应用和昨天的虚拟机应用提供动力。”

Q&A

Q1：思科Live大会发布的Live Protect功能具体有什么用？

A：Live Protect是思科推出的实时漏洞防护功能，直接内置于NXOS和IOS等网络操作系统中。它基于eBPF技术，能在不重启系统、不修改运行中二进制文件的前提下，针对特定进程ID和文件施加补偿控制，阻断特定威胁行为而不影响系统其他部分。管理员只需在Nexus控制面板中点击按钮即可启用防护，大幅降低漏洞响应的操作复杂度。

Q2：思科的Isovalent软件桥接方案如何解决虚拟机迁移到Kubernetes的网络问题？

A：传统上，将虚拟机从VMware（第二层）迁移至Kubernetes（第三层）需要重新设计网络连接方式，成本高、风险大。思科基于Isovalent平台的软件桥接方案允许虚拟机逐台迁移，且无需更改IP地址。这样一来，传统虚拟机工作负载、容器化应用与AI工作负载能在同一基础设施上并行运行，企业无需强制全量迁移，极大降低了过渡期的复杂度。

Q3：思科如何控制AI智能体在企业系统中的访问权限？

A：思科通过Cisco Secure Access（SSE解决方案）和混合网格防火墙，为AI智能体设定任务级、会话级的访问控制。与传统基于密码的宽泛权限不同，智能体只被授予完成特定任务所需的最小权限，且控制是临时性的。例如，一个被授权提交费用报告的智能体，将无法执行采购等超出任务范围的操作，从而有效防范智能体越权行为带来的安全风险。

来源：互联网