思科Live大会：网络重回核心，AI重塑基础设施规则

在过去十年的大部分时间里，企业网络曾一度被行业刻意淡化。云优先架构将交换与路由商品化，将其掩盖在软件定义层之下。而AI基础设施的崛起彻底逆转了这一趋势。思科基础设施与安全集团高级副总裁兼总经理汤姆·吉利斯（Tom Gillis）对此有自己的判断，而这一切都要从网络说起。

在本周的思科Live大会上，思科宣布推出一系列安全与基础设施新能力，涵盖漏洞防护、网络执行以及智能体访问控制等多个维度。

AI时代网络的新角色

吉利斯表示，在AI时代，网络所扮演的角色，就如同过去单台服务器内部的PCI总线。分布式AI系统需要内存、计算、GPU与存储在大规模物理基础设施上协同工作，而网络正是使这一切成为可能的"背板"。他说，正因如此，客户们开始将网络视为唯一可以真正依赖的东西。

"基础设施需要一种全新的运营模式，"吉利斯在接受《Network World》采访时表示。

AI编程工具突破代码规模天花板

这一转变也体现在思科自身的研发组织中。吉利斯领导着一支约12,000人的软件开发团队，AI编程工具已从根本上改变了这支团队的工作方式。

早期的AI编程工具在新项目上成效显著，五到十人的团队可以完成过去百人耗时一年才能完成的工作。但这些工具在处理复杂遗留产品时遭遇了瓶颈。一款Catalyst交换机或思科防火墙可能包含五千万到一亿行代码，超出了早期模型单次能处理的上下文范围。而新一代AI编程工具打破了这一限制，使思科能够在整个产品线上全面提速研发进程。

与此同时，加速的另一面是漏洞发现能力的跃升。以Anthropic的Claude Mythos为代表的前沿AI模型，现在已能够理解完整的复杂代码库，并能发现人类此前难以察觉的安全漏洞。

"前沿模型正在以前所未有的规模发现漏洞，而且这不是一次性的，这些模型将持续不断地发现新漏洞，"吉利斯说。

eBPF技术驱动的实时漏洞防护

传统数据中心应对漏洞的方式是：构建配置、测试验证、锁定后就不再动它。吉利斯表示，这种模式已经行不通了。交换机和路由器是高性能内联系统，更新时需要下线操作，这也是客户很少主动更新的原因。而AI驱动的持续漏洞发现，让这种"一锁了之"的做法难以为继。

思科的解决方案建立在Isovalent平台之上，该平台基于开源Cilium项目，采用内置于Linux内核的eBPF技术。

"eBPF的强大之处在于，我们可以检查内存、观察内存中发生了什么，拦截每一个系统调用和函数调用，并对其进行修改，"吉利斯说。

基于eBPF的功能在思科平台中催生了多项新能力，其中最受关注的是Live Protect。这一功能直接内置于思科NXOS和IOS等网络操作系统中，可以针对特定的进程ID和文件设置补偿控制，在不影响系统其他部分的前提下屏蔽特定操作。对管理员而言，操作体验就是在Nexus控制面板中看到一个漏洞标记，点击按钮即可应用防护。

"我们引入了一种能力，可以在不重启、不触碰、不修改运行中系统二进制文件的情况下，对其施加补偿控制，"吉利斯说。

统一架构：VM、容器与AI工作负载共存

Live Protect和Isovalent平台解决的是当下基础设施的安全挑战。但基础设施本身也在转型，而思科正在为大多数企业的现实处境而非单纯的未来愿景进行布局。

"企业的大多数工作负载还不是AI，他们对AI很兴奋，AI的过渡会很快，但绝大多数工作负载仍然基于虚拟机，"吉利斯说，"虚拟机已经存在二十年了，因此我们对企业未来数据中心的愿景是：Kubernetes成为运行所有应用的编排层。"

摩擦点在于网络层。VMware运行在第二层，Kubernetes诞生于云端，运行在第三层。将虚拟机从VMware环境迁移至Kubernetes，历来意味着需要重新设计其与其他系统的连接方式。思科基于Isovalent的软件桥接方案允许虚拟机逐台迁移，无需更改IP地址。最终效果是：传统VM工作负载、容器化应用与AI工作负载在同一基础设施上并行运行，无需强制全量迁移。

在思科Live大会的主舞台上，吉利斯现场演示了这一愿景：基于VM和基于Kubernetes的工作负载作为对等节点同时出现在Nexus控制面板中，底层由基于Isovalent的软件桥接处理第二层到第三层的转换。

智能体访问控制：为AI智能体设置任务级权限

本次思科Live大会的发布内容应对的是当下的基础设施挑战，而下一个挑战已经清晰可见。随着AI智能体开始代替用户在企业系统中执行操作，网络面临着一个此前从未被设计考虑过的访问控制难题。

典型的企业用户通过密码访问数百个应用，凭证每六个月轮换一次。将同等访问权限授予智能体，权限范围过于宽泛。"我们需要为智能体设置基于任务的控制，更短暂、更精细的控制，"吉利斯说，"一个被授权提交费用报告的智能体，不应该有能力发起采购，我可不想让它去买一辆保时捷。"

思科通过其SSE解决方案Cisco Secure Access以及混合网格防火墙来解决这一问题，控制粒度细化至任务级别和会话级别，同时覆盖用户到应用、服务器到服务器两种场景。

展望未来，吉利斯表示思科计划在秋季发布更多公告。"我们将在秋季做一些我认为会令人震惊的公告，"他说，但未透露细节。

他的近期愿景是打造一套跨越所有应用类型的统一基础设施架构："一年后，我希望客户能够意识到，我可以用同一套设计、同一套架构，同时为明天的AI应用、今天的Kubernetes应用和昨天的虚拟机应用提供动力，"吉利斯说。

Q&A

Q1：思科Live大会发布的Live Protect功能有什么用？

A：Live Protect是思科推出的实时漏洞防护功能，直接内置于NXOS和IOS等网络操作系统中。它基于eBPF技术，能够在不重启系统、不修改运行中二进制文件的情况下，针对特定进程ID和文件施加补偿控制，阻断特定威胁行为而不影响系统其他部分。管理员只需在Nexus控制面板中点击按钮即可应用防护，大幅降低了漏洞响应的操作复杂度。

Q2：思科的Isovalent软件桥接方案如何解决VM迁移到Kubernetes的网络问题？

A：传统上，将虚拟机从VMware（第二层）迁移至Kubernetes（第三层）需要重新设计网络连接方式，成本高、风险大。思科基于Isovalent平台的软件桥接方案允许虚拟机逐台迁移，且无需更改IP地址。这样，传统VM工作负载、容器化应用与AI工作负载可以在同一基础设施上并行运行，企业无需进行强制全量迁移，极大降低了过渡期的复杂度。

Q3：思科如何控制AI智能体在企业系统中的访问权限？

A：思科通过Cisco Secure Access（SSE解决方案）和混合网格防火墙，为AI智能体设置任务级、会话级的访问控制。与传统基于密码的宽泛权限不同，智能体只被授予完成特定任务所需的最小权限，且控制是临时性的。例如，一个被授权提交费用报告的智能体，将无法执行采购等超出任务范围的操作，从而有效防范智能体越权行为带来的安全风险。