2026年,全球网络安全人才缺口达到了340万,比2023年增加了40%。根据(ISC)2的《2026年网络安全劳动力研究报告》,全球网络安全从业人员约550万,但需求是890万。缺口340万。
但更令人担忧的是,现有的安全从业者正在「逃离」这个行业。2026年的一项调查显示,安全从业者的平均在职时间只有18个月,职业倦怠率高达65%。这意味着,每两个安全从业者中,就有一个正在考虑离开这个行业。
网络安全行业不缺「需求」,但缺「人」。而更缺的,是「愿意留下的人」。
为什么没人愿意做安全工作
安全从业者「逃离」的原因,不是薪资低。2026年,美国安全从业者的平均年薪约15万美元,高级安全架构师的年薪超过25万美元。薪资不是问题。
真正的问题是三个:压力、责任和无意义感。
压力。 安全从业者的工作性质决定了他们永远处在「被攻击」的状态。每一个安全事件都是一次「紧急情况」,每一次响应都需要在巨大的压力下做出快速决策。安全从业者经常在凌晨被叫醒,因为「服务器被黑了」。他们经常在周末加班,因为「漏洞需要紧急修复」。他们的工作节奏不是「996」,而是「24/7」。
责任。 安全从业者承担着「不对称」的责任。如果他们做得好,什么都不会发生——没有人会感谢他们。「一切正常」是他们的KPI。但如果他们出错,后果可能是灾难性的——数据泄露、客户损失、监管罚款、公司声誉受损。他们承担着「和CEO一样大的责任」,但拿着「普通员工的薪水」。
无意义感。 安全从业者经常感到「无意义」,因为他们知道,无论他们做了多少防御,攻击者总会找到突破口。安全是一场「永无止境」的战争,而且防守方永远处于劣势——攻击者只需要找到一个漏洞,而防守方需要堵住所有漏洞。这种「不对称」的战争,让安全从业者感到深深的无力感。
安全行业的「燃烧率」
2026年,安全行业有一个术语叫「燃烧率」(Burn Rate)——安全从业者离开这个行业的比率。Gartner的数据显示,2026年安全行业的燃烧率约为25%,意味着每年有四分之一的安全从业者离开这个行业。
安全行业的「燃烧」不仅仅是个人问题,更是组织问题。当安全从业者离开,他们的知识和经验也跟着离开。新来的人需要时间学习,但安全事件不会「等待」新来的人。这就形成了一个恶性循环:人员流失导致安全能力下降,安全能力下降导致更多安全事件,更多安全事件导致更多人员流失。
安全行业的「燃烧率」,正在将整个行业推向「临界点」。
AI能解决安全人才荒吗
2026年,AI安全工具(如AI SOC、AI漏洞扫描、AI安全分析)正在被广泛部署。这些工具可以自动化很多重复性的安全工作,如日志分析、告警分类、漏洞扫描。理论上,AI可以缓解安全人才荒。
但AI安全工具有一个「隐性代价」:它们让安全从业者从「执行者」变成了「监控者」。安全从业者不再需要「手动分析日志」,而是需要「监控AI的分析结果」。这听起来更轻松,但实际上更累——因为AI的「误报」和「漏报」需要人工判断,而判断AI的错误比手动分析更耗费心力。
AI没有「解决」安全人才荒,它只是「转移」了安全人才荒——从「执行层面」转移到了「监督层面」。
安全行业需要什么样的改变
安全行业的人才荒,需要的不是「更多人」,而是「更好的工作方式」。
第一,安全需要「可持续性」。 安全不是一个「冲锋」的行业,而是一个「马拉松」的行业。企业需要建立「可持续」的安全工作节奏,而不是让安全从业者「燃烧」自己。
第二,安全需要「被理解」。 CEO和董事会需要理解,安全不是「成本中心」,而是「风险管理的投资」。安全从业者不是「守门员」,而是「风险管理专家」。当他们做好工作时,即使「什么都没发生」,也应该被认可。
第三,安全需要「自动化」。 把重复性的、低价值的安全工作交给AI,让安全从业者专注于高价值的、需要创造力的工作。AI不是安全从业者的「替代品」,而是安全从业者的「工具」。
网络安全行业的人才荒,本质上是一个「价值认知」的问题。 当安全被看作是「必要之恶」,安全从业者就会被当作「必要之恶」的一部分。只有当安全被看作是「价值创造」,安全从业者才会被当作「价值创造者」。