企业动态

    “花几百万建设的AI系统，在实际业务环境里，就像刚入职的新员工，制造的麻烦比解决的问题还多。”

    ——某制造企业网络安全负责人

    “即便训练最充分的智能体，也可能被模糊信号或多层级情境难住。”

    ——某跨国IT公司高级副总裁兼全球网络安全服务主管

    近年来，AI大模型如火如荼的加速赋能网络安全行业，技术迭代日新月异，算力基础设施持续升级，然而从实际落地来看，依然存在“理论丰满，现实骨感”的普遍现状。在不久前的2025年世界互联网大会“互联网之光”博览会上，奇安信对外展出的AISOC智能安全运营平台实战攻防演示，吸引了嘉宾观众对AI大模型应用的广泛关注。奇安信安全专家认为，“水土不服”是当前AI大模型从实验室走向实战的最大障碍。

    所谓“水土不服”，通俗的说，就是客户从AI技术厂商重金购买的大模型，“天资聪颖”、禀赋出众，但放到客户场景中，由于缺乏对企业特定资产属性、网络结构、业务逻辑和安全规矩等细节的理解，导致错误频出、落地不畅，甚至“屡帮倒忙”，渊博的通用知识，却反而成了包袱。

    如何破解大模型“水土不服”的现状？奇安信AISOC近期接连斩获多个标杆项目，其中包括某豪华车企、某新能源巨头、某国家部委，以及某矿业巨头和头部金融机构等，目前已在60多个头部客户获得实践应用。这不仅助力AI赋能安全运营实现了从概念验证到规模化部署的“最后一公里”突破，更打破了困扰行业多年的AI大模型“水土不服”魔咒。

    1

    理想与现实：“技术很聪明，但它得先学会懂人”

    从全球范围来看，各类通用大模型如过江之鲫般涌现，技术百花齐放，然而AI在安全运营中心（SOC）的规模化、深层次应用却并非一帆风顺。根据CSO在线等专业媒体对AgenticSOC平台落地实践的调研，当前大多数企业仍将AgenticAI定位为人类分析师的辅助工具，而非替代品。其核心挑战在于，通用大模型缺乏对特定企业安全环境、业务逻辑和资产重要性的深度认知。

    其中OPSWAT公司产品副总裁ItayGlic说出了不少CSO的心声，他表示，若缺乏清洁数据或清晰的剧本（工作流），智能体可能会陷入无效信息干扰，甚至自主“创造”流程步骤。这在严谨缜密、追求零事故的安全运营中是难以想象的。

    Gartner的分析一针见血地指出：生成式AI在安全运营中的价值，依然严重依赖SOC分析师自身的经验技能水平。这意味着，要么在模型层面进行深度改造，通过预训练和微调向大语言模型（LLM）灌输海量高质量的垂直领域安全知识，形成Gartner所称的领域特定大模型（DSLM）；要么在应用层面，通过精巧的提示工程和上下文增强，引导LLM像一位经验丰富的安全分析师一样进行思考与决策。

    然而，理想与现实存在差距。通用模型难以理解企业内部独特的网络拓扑、业务应用优先级以及那些“约定俗成”的正常操作。它将所有偏离基准的行为都视为潜在威胁，导致误报泛滥，或者因缺乏上下文而漏判真实攻击。更严峻的是，Gartner警告，到2027年，预计30%的SOC领导者将因生成式AI输出的不准确及其固有的“幻觉”问题，而无法将其成功整合到核心生产流程中。这正是AI在网络安全领域“水土不服”的典型症状：能力虽强，却难以“入乡随俗”。

    2

    两大核心突破：AISOC完成从“工具”到“专家”的蜕变

    面对上述行业共性难题，奇安信AISOC并非选择对通用大模型进行伤筋动骨的重塑，而是另辟蹊径，通过两大关键创新，实现了AI在安全运营中价值的质变。

    突破1：让AI“拜你为师”，从“懂安全”到懂“你的安全”

    再聪明的AI，初到客户现场环境，也不可能“无师自通”。AISOC的核心设计理念之一，就是引入了持续学习和反馈机制，让AI具备了“拜师学习”的能力。它不再是僵化地执行预设规则，而是能够在实战中不断吸收来自用户环境的反馈，自我优化其决策逻辑。

    一个生动的例子是：当系统检测到文件备份服务器上存在大量的PHP脚本上传活动时，初来乍到的AI可能会将其判定为可疑的Webshell攻击行为。但在传统模式下，分析师或许只能简单地将该服务器IP加入白名单。而AISOC则能通过反馈机制学习到：“依据用户的反馈，这是文件备份服务器，这些php脚本上传是可信的正常业务，与此次勒索攻击无关。”

    这意味着，AI不仅理解了这是一个“安全”的行为，更深刻地理解了在“你这个特定环境”中，该资产的角色以及此行为背后的业务合理性。它修正了战术判断，从一个“通用AI”蜕变为“你的AI”。客户无需进行复杂且成本高昂的大模型训练与微调，也无需手动配置繁冗的静态规则，就能让系统越来越贴合自身业务。

    通过AISOC在多个客户现场的实战数据显示，该机制使客户安全事件响应时间平均缩短50%，研判准确率较通用模型提升40%以上，彻底改变了AI“水土不服”的被动局面。这与Gartner提出的“特定领域语言模型（DSLM）”理念高度契合——通过行业专用数据的持续输入，实现模型的领域适配性进化，预计到2028年，此类模型将占据企业生成式AI应用的半数以上。

    突破二：“流程不再等人，AI开始自己干活。”

    AISOC的另一项革命性创新，在于将大模型的推理与决策能力，无缝嵌入到标准化的安全处置流程中，并授权AI工作流在无需人工干预的情况下，自动完成从检测、分析、调查到处置、总结的全过程。

    以“勒索事件全流程处置”为例。过去，要实现这样一个复杂的自动化流程，需要安全工程师耗费数周时间编写和调试脚本。而在AISOC平台上，用户只需要用“人话”描述出处置的目标和步骤——“检测到勒索软件迹象后，立即隔离感染主机、阻断恶意IP通信、扫描并清除恶意文件、恢复可信备份，并生成处置报告”——系统便能自动理解和生成对应的AI工作流。这一连串的动作，一经启动，即可在7×24小时的全时段自动运行，无论深夜还是周末，都能得到及时处理。

    这种“大模型+流程”的模式，其巧妙之处在于：它让复杂AI工作流的配置变得极其简单，自然语言即可驱动；同时，平台设计上确保了在关键决策点由AI主导，既充分发挥了AI的效率优势，又通过流程的规范性避免了多步骤自动化中可能出现的错误累积效应。

    3

    实战验证：“从实验室到矿井、从代码到产线，它真的落地了。”

    创新的价值最终由实战效果定义。AISOC已在金融、能源、汽车、矿业等关键信息基础设施行业的多家头部客户中得到了严谨的价值验证：

    在金融领域，某头部证券公司依托AISOC，将有害攻击检测率提升至93.3%，智能研判准确率高达95.9%，智能调查时间缩短达80%，并全面实现了智能处置与汇报。

    在新能源领域，某新能源巨头通过部署AISOC，实现了惊人的98.7%告警消减率、95.4%的告警研判率和94.4%的研判准确率，将威胁漏报率控制在2%以下。在AISOC与SOAR（安全编排、自动化与响应）的协同下，平均修复时间（MTTR）提升了5倍。

    在汽车制造领域，某全球豪华车企在AISOC助力下，实现了单条警报研判时间低于9秒的近乎实时响应，有效告警识别准确率高达93.1%，较传统人工模式提升了2.7倍。

    在矿业领域，某跨国矿业巨头引入AISOC后，在人机协同模式下，单名分析师日均处理告警的能力从过去的300条跃升至近10000条，运营效率实现了数十倍的惊人跨越。

    这些来自不同行业的卓越数据，强有力地证明了AISOC已成功跨越了AI应用的“鸿沟”，解决了长期存在的“水土不服”问题。

    4

    AISOC两大创新，让AI从“懂安全”到“懂你”

    IDC、微软等权威机构纷纷预测：AI将在未来几年内彻底改变网络安全攻防格局，AI赋能安全运营已成为不可逆转的行业趋势。而新修订的《网络安全法》新增第二十条，明确“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平”。政策的东风与技术的实践相互呼应，以AISOC为代表的AgenticAI（自主智能体）赋能安全运营，正精准地顺应了这一趋势，为AI在关键领域的深度应用提供了极具价值的范本。

    奇安信AISOC通过年度突破性升级，不仅成功蝉联世界互联网大会“新光”产品奖，其核心理念与技术实践也助力奇安信上榜Gartner®安全信息与事件管理（SIEM）魔力象限，这标志着中国在AI驱动安全运营领域的探索已迈入世界一流行列。

    可以说，AISOC重新定义了新一代SOC的核心价值：它不再是单纯、被动的安全工具，而是企业安全团队中最懂自身业务、最严守操作规范、永不疲倦“顶级安全专家”与“流程执行官”。在政策支持、技术成熟与实战需求的三重驱动下，AISOC的成功实践，让AI实现了从“懂安全”到“懂你”的跨越，无疑为整个行业破解AI大模型“水土不服”难题、加速智能化转型提供了清晰的路标与可行的路径。