在人工智能大模型(LLM)技术狂飙突进的今天,安全圈内关于“技术代际更替”的讨论从未停止。我们听到了一种声音:“大模型来了,AI Agent(智能体)将接管一切,传统的编排自动化(SOAR)已经过时了。”
这种观点认为,未来的安全运营只需要一个对话框,AI就能自动理解一切、处置一切。
然而,作为深耕安全自动化领域的雾帜智能,基于对大量实战场景的复盘和对AI局限性的深刻理解,我们要给出一个反直觉但负责任的结论:在AI主导的安全运营(AI SOC)时代,SOAR不仅没有过时,反而比以往任何时候都更加不可或缺。
01. “全AI化”运营的隐形陷阱
让我们想象一个完全依赖大模型进行端到端处置的场景。当海量的安全告警涌入时,如果每一条告警都依赖大模型从头进行推理:
算力与Token的惊人消耗: 针对每一次常见的暴力破解或钓鱼邮件,都要消耗大量的Token进行重复推理,这在经济上是不可持续的。 “非确定性”带来的灾难: 大模型本质上是概率模型。对于同一个威胁,AI今天的处置路径可能和昨天完全不同。但在网络安全这种严肃场景中,一个字符的偏差、一个逻辑的幻觉(Hallucination),可能导致核心业务阻断或数据误删。 时延挑战: 大模型的推理需要时间(Time-to-Think),而面对蠕虫勒索等极速攻击,我们需要的是毫秒级的“肌肉记忆”,而非慢条斯理的“逻辑分析”。
02. 理论重构:安全运营中的“快思慢想”
为什么SOAR依然重要?我们可以借用诺贝尔经济学奖得主丹尼尔·卡尼曼在《思考,快与慢》中提出的认知模型来解释。
此前,360安全专家潘剑锋在腾讯TVP安全会议上也分享过类似的精彩观点,将这一理论完美映射到了安全运营中:
系统1(快思考): 是人类的直觉和条件反射,迅速、自动、几乎不消耗脑力。 对应技术:SOAR。 对于已知的、重复的、标准化的安全事件(如封禁恶意IP、隔离中毒主机),SOAR剧本就是企业的“快思考”。它是固化的专家经验,确定性100%、执行速度极快、成本极低。 系统2(慢思考): 是人类的逻辑推理,处理复杂、新颖的问题,缓慢且消耗精力。 对应技术:AI大模型。 对于未知的、复杂的、上下文模糊的高级威胁,我们需要AI介入进行深度研判、推理决策。
真正的下一代安全运营,是“快思考”与“慢思考”的完美协作。
03. AI与SOAR的共生形态
在雾帜智能的产品哲学中,AI不是用来取代SOAR的,而是用来驾驭SOAR的。
1. 剧本是AI的“确定性锚点”
为了降低大模型的幻觉风险,最有效的手段不是让AI直接操作底层API,而是让AI调用封装好的SOAR剧本。我们将复杂的处置流程固化为剧本,AI只需决策“调用哪个剧本”,而剧本内部的原子动作(Action)是严格受控及标准化的。
这既保留了AI的灵活性,又通过SOAR保障了结果的合规性与鲁棒性。
2. 从“慢”到“快”的进化闭环
一个理想的AI SOC流程应当是这样的:
Day 1(慢思考): 面对一个新的攻击手法,没有现成剧本。AI Agent通过推理,调用各种原子工具进行一步步试错和处置。 Day 2(固化): 我们复盘AI的处置过程,发现这是一套有效的逻辑,于是将其编写为新的SOAR剧本。 Day 3(快思考): 当同类攻击再次发生,系统直接匹配规则触发SOAR剧本,瞬间完成处置,无需AI再次进行昂贵的推理。
3. 技术落地:MCP与开源生态
为了实现这种连接,雾帜智能已经做好了准备。我们支持将SOAR中积累的数千个应用动作和剧本,转化为 MCP (Model Context Protocol) 标准工具(https://github.com/flagify-com/soar-mcp)。
这意味着,无论是雾帜自研的AI产品,还是用户企业内部私有化部署的大模型,都可以通过MCP协议,直接“读懂”并调用我们过去数年积累的自动化能力。我们甚至已在GitHub上开源了相关转换工具,致力于推动MCP工具生态的发展。
04. 结语
未来的安全运营,不会是AI的独角戏。
它需要大模型的大脑去理解不确定性的世界,也需要SOAR的手脚去执行确定性的任务。SOAR提供的标准化剧本、应用集成和流程控制,是AI能够安全落地的物理基础。
在追求技术跃迁的路上,雾帜智能始终保持清醒:拥抱AI的智慧,但绝不丢弃自动化的严谨。
📝 编者注
本文基于雾帜智能对AI自动化安全运营的深度实践,以及行业专家的前沿探索整理而成。如果您对SOAR与AI的结合感兴趣,欢迎在后台留言与我们探讨。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...