编者按

在涌动的技术潮流中，安全产业如何乘风破浪、稳健前行？伴随2024年序幕的徐徐揭开，来自“产、学、研、媒”各界安全领域专家齐聚一堂,旨在卸下AIGC的包装，理性客观地看待安全产业的价值重构，不吹不黑地描述“安全大模型”发展路径。

“看过《流浪地球2》吗？‘安全大模型’应该能成为MOSS系统，虽然它现在只是机器人。”或许是被刘慈欣的才华启发，或是被此前《黑客帝国》、《终结者》等电影一再“洗脑”，大众总是期待，他们这代人就能将电影照进现实。

但安全业内的多数专家，还是保持了客观和理性，他们更关心逐步积累行业语料，持续打磨行业属性，扎实完成数据训练，以及如何才能“大材小用”——将安全“大模型”落地于“小场景”。

“七龙珠”召唤神龙

其实，回顾这四十年，安全企业过得并不容易。1981年，15岁的少年程序员Rich Skrenta，编写了世界上第一支电脑病毒Elk Cloner。在那之后的很长一段时间，安全企业过得相对单纯，他们只需要“懂安全”。

直至上世纪90年代中后期，企业信息化伴随着互联网起步，那时的安全企业开始摸索着网络拓扑图，学习着如何“懂网络”。补充一句，正是“信息化红利”成就了网络安全的“黄金十年”。

随后的2006年和2007年，科技产业先后发生了两件改变产业格局的大事。或者说，此两件事情推动了原有技术格局的“重构”。先是“云计算”概念被提出，5个月后苹果公司发布了初代iPhone。前者在此后重构了IT基础设施，后者重构了移动通信和互联网。

此时的安全企业，也面临着云安全、安全云，以及网络边界模糊等巨大挑战。他们不得不再次给自己加戏——必须“懂云”、“懂边缘”。因为将“云、网、端”视为整体，才能跟得上时代的发展。

再之后就是2015年前后，企业陆续启动了数字化转型。此时，头部企业用户开始关注数据价值，开始推动数据融合和数据流动创造新的价值，开始谋求将数字技术与应用场景相结合，并以此推动业务创新。这对安全企业带来了全新的挑战。用户的关注点开始从网络安全，向数据安全延伸，开始从网络拓扑向应用场景延伸。此时的安全企业更必须“懂数据”、“懂场景”。

现在，我们已步入AIGC时代。这可称近四十年中，第三个技术格局的“重构”。安全企业期待AI安全，特别是“安全大模型”，能够提升工作效率，能够改变攻守力量对比。而且他们还期待在这个数字化与智能化的“叠加时代”，安全产业能进入下一个“黄金十年”。

当然，现在回顾这段历史，并不是为描述安全企业的砥砺前行。正是所谓没有一分的研发投入是被浪费的，过往的亦步亦趋也都必有回报。安全企业只有“懂安全”、“懂网络”、“懂云”、“懂边缘”、“懂数据”、“懂场景”，以及“懂AI”，集齐七颗龙珠，才是最终召唤安全大模型。安全企业也只有在团队中聚合了安全专家、网络专家、云计算专家、数据专家、AI专家，且有海量用户的支持，并能深入应用场景，才能适应当今用户的需求。

内生式的AI安全

收回话题，聚焦AI安全。

其实，相比于外挂式的、盒子型的网络安全，数据安全已经成为一种内生于数据流动各个环节中的能力。AI安全与此类似。换句话说，所有的产品在获得AI内生能力后都值得重新设计；所有的应用场景，也都值得在获得内生AI安全能力后进行重构。

而且，此方向的努力一直未曾停止。

在“前AIGC时代”，业内第一波内生式的AI安全产品，出现在2019年前后，代表性的厂商如新华三集团。其发布的新一代AI防火墙采用高性能的双GPU+双CPU+AI模块架构，可用于加密流量识别、未知威胁检测等领域。

当然，自从AIGC崭露头角，安全业内更是寄予厚望。“安全大模型现在像是高中生，但假以时日，他一定能成长为大学生、硕士生、博士生。”中国信息通信研究院副院长魏亮表达了他的看法。只不过，魏亮也相当客观地强调，安全大模型还需“假以时日”，才能掌握专业技能。

IDC中国研究总监胡向东也表达了类似的说法。“AI Agent等技术将快速崛起，大模型落地于手机、笔记本、智能汽车等终端设备已是必然趋势，但在安全领域，人工智能依旧取代不了5%最核心的工作。”很明显，他想传递的观点是“人力或许会被代替，但人才不可能被取代。”

更进一步，胡向东还阐述了市场趋势，“人工智能的头部效应已经非常明显，”他所指的应该是，“百模大战”应该在2024年有个结果。而且可进行对比，不管是分布式计算，还是公有云市场，从百花齐放到向头部企业收窄，都经历了3～5年的时间，但大模型的此进程显然更快，1～2年就会有人明显掉队。

不能回避的挑战

问题也由此产生。为何通用大模型的头部效应更明显？在通用大模型肩膀上的安全专属大模型，是否已经被炒作过头了？

据不完全统计：2023年，国内已有十余家企业推出安全大模型，而且所有产品的纸面功能都相当诱人——未来，可广泛应用于安全产品开发、威胁检测、漏洞挖掘、安全运营及自动化、攻防对抗、反病毒、威胁情报分析和运营、涉网犯罪分析等领域。

确实，未来有多远并不知道，但在谈及当今AI安全落地应用时，数世咨询创始人李少鹏只是保持了谨慎的乐观，“虽然安全企业一直希望‘以AI驱动安全运营’，但真正实现的商业收入却是寥寥。”该观察出自数世咨询此前的一次调研，即使安全企业开始以“AI驱动安全运营”签署合同，但服务内容还是过于传统。

另一应用方向，中国信息通信研究院副院长魏亮也关注到现实的问题：“将人工智能应用于安全攻防行不行？理论上没问题，但实际上绝大多数企业很难收集足够多的训练数据，尤其是针对APT攻击，很难拿出有效数据对安全大模型进行训练。”更进一步，魏亮解释说：“并不像企业中已经存在和正在产生的海量文字、语音、图像数据，企业用户很难沉淀足够多的、高质量的安全数据。”

应该如何入手？

但安全大模型并非是伪命题。

“首先是应用场景选择，其次是增强安全大模型的行业属性。”新华三集团高级副总裁、安全产品线总裁孙松儿表达了他的看法：“劳动密集场景、数据密集场景一定是首选，价值主要体现在运维降本和运营增效等方面。”

具体而言。

在资产辅助分类分级、设备配置与故障排查、定期策略巡检调优等需要大量人力投入的场景，大模型可以完成大部分工作，可有效降低一线运维人员的人力成本；而在风险趋势分析、事件辅助研判、安全处置建议、数据安全治理等，需要海量数据分析的场景下，安全运营智能体则能辅助高级运营人员进行数据初筛和基本分析，让工程师聚焦核心问题。这些也正是新华三安全领域模型最先发力的突破口。

以“安全处置建议”为例，在“确定处置对象、分析处置建议、确定处置方案、编写处置剧本、创建处置工单、执行处置动作、生成处置报告”全流程的每个环节中，植入AI安全能力都能够显著提升运维效率。

也就是说，“AI安全助手”将针对每个环节发表自己的“建议”，并由安全专家确认后推进至下一阶段执行。“安全处置建议”闭环时间至少缩短了30%，其中仅“创建处置工单”一项，处置时间就将从10分钟降低了一半以上。

此外，在数据安全领域，数据资产的分类分级，一直是消耗大量人力资源的重点前置工作。而现在可以通过“AI安全助手”，服务人员可以直接根据某类行业要求，“一键式”达到70%的准确度的分类分级，极大的提升了效率，为客户提供更高效的服务，“这样的‘AI安全助手’，新华三的安全工程师已经人手一套。”孙松儿说。

与“场景选择”同步进行的还有“行业属性”塑造，这似乎是个更大的挑战。就如新华三安全产品线系统部部长付志强所说，不同于传统网络安全，安全大模型具有较强的行业属性，包括安全事件类型、业务流程和数据流向、行业语料，以及攻击行为和攻击手段。

尤其是行业语料积累，以及基于高质量数据进行的模型训练，才是安全企业真正想做的事情。只不过，过去，他们是“站在安全的视角上看数字化转型”，现在，他们要“站在数字化转型的视角上看安全”。

捧杀还是炒作？

这只是安全大模型的初级阶段。

目前，安全大模型可“辅助”安全专家，完成安全事件处理闭环；也能参与部分代码生成、测试设计，并达到商用标准；下一阶段，其还可“一键式”地自动完成事件处理安全闭环；再下一阶段，安全大模型更可以将资产梳理与检查、事件聚合降噪、事件处置优先级评估、业务风险的情境感知和上下文分析、影响性评估、风险通报、自动处置决策等多个业务运营流程进行串联，即真正形成企业的“安全大脑”。

而且不吹不黑地说，安全大模型还处于业务验证期，类似于L2级别的自动驾驶阶段，运维工程师尚不能手离方向盘。任何将“辅助”夸大为“自动”，将“助手”夸大为“大脑”之词，都有捧杀或炒作之嫌。

当然，一切过往，皆为序章。而由此回到文章开篇的观点。“看过《流浪地球2》吗？虽然它现在只是机器人，但‘安全大模型’终将能成为MOSS系统。”