全景图｜SOAR 已死，代理安全Agentic Security 才是未来

自四月份以来，我一直在跟踪安全初创企业的发展，特别是与代理和代理工作流相关的领域。当时，只有少数几家安全公司在研究代理概念，并取得了实际进展。

在短短的 6 个多月时间里，我看到新成立的公司或从隐身状态中走出来的公司大幅增加。这篇文章是我追踪的当前解决方案的一个缩影，也是我如何将它们与市场接轨的一个缩影。

在深入了解细节之前，有必要了解一下我的方法，因为绘制市场全景地图并不是一门精确的科学。我对公司的了解大多来自于他们对外的营销材料。在可能的情况下，我会尝试与公司直接对话并实地考察产品。我还会与投资者和市场上的其他同行交谈，了解他们对特定公司或新兴领域的看法。我肯定会遗漏一些公司，也可能对一些公司进行了错误分类。这张地图是我为自己的战略规划和对该领域的监测所做的最大努力。

在最近的一篇博文中，我对如何定义代理和衡量实施作了一些说明。在我看来，代理是由组件组成的，而实施可以从多个维度进行衡量，包括自主程度、功能范围、方法规模以及代理是否具有个性和交互方法。我的市场地图利用纵轴上的范围和横轴上的自主性，对解决方案进行了更大程度的细分。最后，我使用颜色将公司与特定的空间进行统一。

以下是我从地图上列出的各家公司中看到的几个新兴领域。对我来说，新兴领域是指在该领域运营的几家公司以及随着时间的推移增长的公司。

Incident Triage 事件分流

尽管应用于 SOC 部分的自动化技术正在蓬勃发展，但 SOAR 现在已被认为是死路一条。分流领域的公司正在使用代理工作流来执行人类现在要做的分流步骤，或者以前用 SOAR 自动执行的步骤。这些公司正在努力增强 SOC 的人员配置，减少琐碎的业务工作，并应用人工智能协助形成具有响应建议的判断。

Dropzone.AI是我所见过的这一领域中营销非常透明、价值主张非常明确的公司的最佳范例之一。我还喜欢CommandZero及其将分析师的工作编入专家系统并使用人工智能协助自动化工作的方法。从长远来看，我相信许多现有的 XDR 解决方案（其中许多具有 SOAR 功能）将开始在其产品中增加更多的分流自动化功能，从而迫使该领域的解决方案扩展到 SOC 以外的工作。

代码漏洞分析

鉴于人工智能的进步，我预计代码数量将急剧增加，尤其是由机器生成的代码。遗憾的是，并非所有代码都是安全的，也并非所有代码都遵循最佳实践。有几家初创公司正在应用代理来持续审查源代码，无论是在提交后还是在 CI/CD 管道中，以识别漏洞并提出一键合并的修复方案。我猜想，这些解决方案中的许多还将结合分析配置和部署脚本的方法，以获得最佳/安全实践，从而进一步加强对左移的投资。

Pixee AI 是迄今为止市场上最有趣的解决方案之一。他们的代理功能类似于安全工程师，可以处理扫描结果、查找漏洞，然后提出可合并到代码中的修复建议。该团队指出，他们还希望解决其他与代码相关的挑战，如质量、性能和其他自动化时机成熟的用例。我还关注 Github 及其高级安全产品。Github Copilot 一直处于在其解决方案中应用生成式人工智能的最前沿，我希望看到他们的创新能够扩展到其安全产品中。

Security Copilots/Agents

生成式人工智能为自然语言赋予了新的力量，使用户能够表达自己的意图，或通过提示提问以获得详细回复。这种新的交互方式催生了 " copilot "产品，旨在显著增强市场上的安全操作方式。这一领域有几家初创公司，但大型平台提供商也提供了许多作为更广泛安全套件一部分的 " copilot "产品。安全copilot为用户提供了一个与人工智能交互的通用界面，以回答问题、形成检测或查询、汇总报告和其他一些遍布整个安全组织的任务。它们的主要价值主张是使用自然语言将分散的安全生态系统拼接在一起。

鉴于我之前运营Microsoft Security Copilot产品的背景，我对该解决方案有所偏爱，并相信该解决方案已经并将继续开展大量创新工作。在我看来，另一个进行了大量创新工作的大型公司是SentinelOne和他们的 Purple AI 产品。我特别喜欢笔记本电脑的实施，以及他们如何在各种安全工作流程中集成人工智能功能。在初创公司领域，Simbian AI 似乎最具前瞻性，他们最初从自然语言副驾驶开始，但后来转向包括与不同安全工作相匹配的定制代理。

值得注意的征召

以下公司属于现有的市场类别，但它们使用人工智能的方法让我眼前一亮。

• XBOW。XBOW 公司由前 Github Copilot 和攻击性安全从业人员创立，致力于将代理用于攻击性安全工作。我喜欢他们的评估驱动开发方法，也喜欢他们在网站上分享的使用案例。最近，我开始看到由 XBOW 代理创建的 CVE，这进一步证明了代理过程是如何应用的。
• Torq。Torq 最初是一个 SOAR 解决方案，一直领先市场一步，致力于实现客户价值。近年来，他们开始更多地关注 SOC 用例，当生成式人工智能开始流行时，他们是首批在助手界面中采用该技术的公司之一。从那时起，该公司已经筹集了 7000 万美元的 C 轮巨额资金，旨在进一步推动人工智能的应用。鉴于他们丰富的工作流程和集成，我期待看到该团队取得一些有趣的成果。
• Bricklayer。Bricklayer 由 Threatconnect 前首席执行官创立，是我看到的第一个采用可协同工作完成任务的特定安全代理的安全解决方案。使用过 Autogen、CrewAI、Swarm 或 LlamaAgents 的人都知道多代理架构的强大功能。Bricklayer 提供了一个生产级接口，用于构建自己的代理并将其附加到工作负载上。
• Opnova。遗憾的是，并非每个安全工作流都能实现自动化。客户历来不得不依赖企业提供 API，以便开发人员实现自动化。Opnova 正在利用当前人工智能的进步，让机器 "学习 "工作流程，无论 API 如何，并完成这些任务。
• Splx。生成式人工智能引入了一种新技术，可以以新的方式进行攻击和利用。Splx 利用代理来自动执行针对生成式 AI 模型的红队流程。他们的方法类似于微软的开源 PyRIT 项目，不过在使用代理进行自动化方面进行了扩展。