從「千萬(wàn)隨想」到AI智能體——網(wǎng)絡(luò)安全的智能化轉(zhuǎn)型之路

前幾年指揮護(hù)網(wǎng)的日日夜夜，恍若昨日。這「千萬(wàn)隨想」不僅是對(duì)過(guò)往網(wǎng)絡(luò)安全攻堅(jiān)歷程的凝練，更是對(duì)未來(lái)網(wǎng)絡(luò)安全發(fā)展道路的展望。

——鄒來(lái)龍（宜水翔龍）

中國(guó)核能行業(yè)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作組組長(zhǎng)

《戶外求索》 微信 公眾號(hào)總編輯

「千帆過(guò)盡的沉思」仲夏夜重讀舊詩(shī)，筆記本上「千萬(wàn)隨想」的筆跡如刀刻心：

集，千軍萬(wàn)馬；

理，千頭萬(wàn)緒；

宣，千言萬(wàn)語(yǔ)；

謀，千方百計(jì)；

戰(zhàn)，千難萬(wàn)險(xiǎn)；

跨，千溝萬(wàn)壑；

歷，千辛萬(wàn)苦；

看，千山萬(wàn)水！

在數(shù)智化浪潮洶涌澎湃的當(dāng)下，網(wǎng)絡(luò)安全領(lǐng)域正經(jīng)歷著前所未有的變革，而AI技術(shù)的崛起，如同一把雙刃劍，既帶來(lái)了前所未有的挑戰(zhàn)，也孕育著突破傳統(tǒng)的希望。

01傳統(tǒng)網(wǎng)絡(luò)安全的困境與挑戰(zhàn)

回首過(guò)往，傳統(tǒng)網(wǎng)絡(luò)安全體系在長(zhǎng)期的實(shí)踐中構(gòu)建起了一道道防線，然而，隨著AI技術(shù)的飛速發(fā)展，這些防線正逐漸顯露出難以承受的壓力。

碎片化的防御體系

在傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)中，防火墻、入侵檢測(cè)系統(tǒng)（IDS）、網(wǎng)絡(luò)應(yīng)用防火墻（WAF）等各類安全設(shè)備猶如一座座孤立的堡壘，各自為戰(zhàn)。它們雖然在各自的領(lǐng)域內(nèi)發(fā)揮著作用，但由于缺乏有效的協(xié)同機(jī)制，形成了一個(gè)個(gè)數(shù)據(jù)孤島。這些設(shè)備產(chǎn)生的海量日志和警報(bào)信息難以進(jìn)行有效的關(guān)聯(lián)分析，導(dǎo)致安全團(tuán)隊(duì)在面對(duì)復(fù)雜的攻擊時(shí)，往往只能看到孤立的片段，而無(wú)法洞察攻擊的全貌。例如，當(dāng)一個(gè)攻擊者通過(guò)多種手段逐步滲透系統(tǒng)時(shí)，不同設(shè)備可能會(huì)分別檢測(cè)到異常，但由于缺乏統(tǒng)一的關(guān)聯(lián)分析，安全人員很難及時(shí)察覺(jué)到攻擊的連續(xù)性和整體性，從而錯(cuò)失最佳的防御時(shí)機(jī)。

被動(dòng)響應(yīng)的規(guī)則驅(qū)動(dòng)模式

傳統(tǒng)網(wǎng)絡(luò)安全依賴于預(yù)先定義的規(guī)則和特征庫(kù)來(lái)檢測(cè)和防御威脅。然而，這種模式在面對(duì)新型攻擊，尤其是AI生成的動(dòng)態(tài)攻擊載荷時(shí)，將顯得力不從心。攻擊者可以輕易地繞過(guò)基于已知特征的檢測(cè)機(jī)制，而安全團(tuán)隊(duì)則需要不斷更新規(guī)則庫(kù)來(lái)應(yīng)對(duì)新的威脅，這種滯后性使得防御始終處于被動(dòng)狀態(tài)。同時(shí)，規(guī)則驅(qū)動(dòng)的系統(tǒng)往往會(huì)產(chǎn)生大量的誤報(bào)，使得安全分析師淹沒(méi)在海量的警報(bào)中，難以分辨真正重要的威脅，從而導(dǎo)致關(guān)鍵威脅的漏判。

高昂的人力成本與低下的 投資 回報(bào)率「ROI」

網(wǎng)絡(luò)安全領(lǐng)域一直面臨著人才短缺的問(wèn)題。安全專家不僅稀缺，而且培養(yǎng)成本高昂。然而，即使投入大量的人力，傳統(tǒng)安全體系的效率仍然難以滿足日益增長(zhǎng)的安全需求。安全團(tuán)隊(duì)的大部分精力都耗費(fèi)在基礎(chǔ)的運(yùn)維工作上，如漏洞掃描、策略配置等，而無(wú)法專注于戰(zhàn)略層面的優(yōu)化和創(chuàng)新。這種人力密集型的運(yùn)營(yíng)模式導(dǎo)致了安全投入的持續(xù)增加，但防御效果的提升卻十分有限，投資回報(bào)率持續(xù)走低。據(jù)某能源集團(tuán)資料顯示，其安全投入年均增長(zhǎng)約20%，但防御有效性僅提升5%-10%。

AI黑客帶來(lái)的新挑戰(zhàn)

在AI技術(shù)的推動(dòng)下，黑客的攻擊手段變得更加復(fù)雜和高效。AI黑客可以模擬正常流量，繞過(guò)基于規(guī)則的檢測(cè)系統(tǒng)；它們能夠以極高的效率挖掘漏洞，甚至可以具備無(wú)間斷攻擊能力，無(wú)生理疲勞限制，而傳統(tǒng)的人工值守系統(tǒng)難以應(yīng)對(duì)如此高強(qiáng)度的攻擊。更令人擔(dān)憂的是，AI黑客可以通過(guò)強(qiáng)化學(xué)習(xí)不斷調(diào)整攻擊策略，使其攻擊行為更加難以預(yù)測(cè)和防御，這對(duì)傳統(tǒng)網(wǎng)絡(luò)安全體系構(gòu)成了重大挑戰(zhàn)。這些新型攻擊手段對(duì)傳統(tǒng)網(wǎng)絡(luò)安全體系構(gòu)成了降維打擊，使其在面對(duì)AI黑客時(shí)顯得不堪一擊。

02「破局關(guān)鍵」AI驅(qū)動(dòng)的安全智能體

在傳統(tǒng)網(wǎng)絡(luò)安全體系面臨諸多困境的背景下，AI技術(shù)的崛起為網(wǎng)絡(luò)安全帶來(lái)了新的希望。國(guó)內(nèi)以青藤云安全的青藤「無(wú)相」為代表的安全智能體（Agentic AI）正在引領(lǐng)網(wǎng)絡(luò)安全領(lǐng)域的一場(chǎng)革命，它們通過(guò)智能化的手段，預(yù)計(jì)能夠有效地解決傳統(tǒng)安全體系的諸多弊端，為企業(yè)提供應(yīng)對(duì)AI黑客的新武器。

構(gòu)建AI安全中樞：實(shí)現(xiàn)協(xié)同防御

AI安全智能體的核心在于構(gòu)建一個(gè)能夠?qū)崿F(xiàn)“感知 - 決策 - 響應(yīng)”閉環(huán)的中樞神經(jīng)系統(tǒng)。與傳統(tǒng)安全體系中孤立的設(shè)備不同，安全智能體通過(guò)多智能體協(xié)作，實(shí)現(xiàn)了從威脅檢測(cè)、分析到處置的全流程閉環(huán)。例如，青藤「無(wú)相」通過(guò)“大腦（規(guī)劃）+ 眼睛（感知）+ 手腳（執(zhí)行）”的分工架構(gòu)，使得各個(gè)智能體能夠各司其職，協(xié)同作戰(zhàn)。這種架構(gòu)不僅可以提高威脅檢測(cè)的準(zhǔn)確率，還可以大大減少人工干預(yù)的工作量。據(jù)青藤的實(shí)測(cè)數(shù)據(jù)顯示，告警研判準(zhǔn)確率可達(dá)99.99%，人工工作量可減少95%。

動(dòng)態(tài)防御：實(shí)時(shí)調(diào)整策略

AI安全智能體能夠基于實(shí)時(shí)的知識(shí)圖譜自主生成防御策略，并根據(jù)攻擊的變化實(shí)時(shí)調(diào)整策略。這種動(dòng)態(tài)防御機(jī)制使得安全體系能夠像生物免疫系統(tǒng)一樣，實(shí)時(shí)感知威脅并做出相應(yīng)的反應(yīng)。例如，當(dāng)檢測(cè)到攻擊者的異常行為時(shí)，安全智能體可以自動(dòng)切換備用方案，甚至可以主動(dòng)調(diào)整攻擊面，使其更加難以被攻擊者發(fā)現(xiàn)和利用。這種動(dòng)態(tài)防御能力不僅可以提高防御的有效性，還可以大大縮短響應(yīng)時(shí)間，例如APT攻擊鏈溯源從人工需數(shù)天壓縮至分鐘級(jí)。

自動(dòng)化與智能化：降低成本，提升效率

AI安全智能體通過(guò)自動(dòng)化處理大量的低級(jí)告警，將安全專家從繁瑣的基礎(chǔ)工作中解放出來(lái)，使其能夠?qū)Ｗ⒂趹?zhàn)略層面的威脅狩獵和防御優(yōu)化。例如，青藤智能體在告警測(cè)試中可以實(shí)現(xiàn)100%的告警自動(dòng)研判，誤報(bào)率低于0.01%。這種自動(dòng)化處理不僅可以提高告警處理的效率，還可以大大降低人力成本。

應(yīng)對(duì)AI黑客：以AI對(duì)抗AI

面對(duì)AI黑客的新型攻擊手段，AI安全智能體能夠以其人之道，還治其人之身。它們通過(guò)環(huán)境基線學(xué)習(xí)和非規(guī)則檢測(cè)，捕捉攻擊者細(xì)微的異常行為，即使攻擊者使用深度偽造技術(shù)或生成個(gè)性化的攻擊內(nèi)容，也難以逃脫安全智能體的檢測(cè)。例如，青藤「無(wú)相」可以通過(guò)內(nèi)存級(jí)行為建模檢測(cè)AI換臉攻擊，甚至可以在攻擊者橫向移動(dòng)前自動(dòng)封堵其攻擊路徑。這種以AI對(duì)抗AI的模式，不僅可以提高防御的有效性，還可以為企業(yè)提供應(yīng)對(duì)未來(lái)AI黑客攻擊的新思路。

03未來(lái)安全防護(hù)體系的展望

傳統(tǒng)安全產(chǎn)品和運(yùn)營(yíng)能力，將通過(guò)與AI技術(shù)的融合，持續(xù)優(yōu)化并發(fā)揮基礎(chǔ)性作用。更為重要的是，未來(lái)的安全防護(hù)體系將加速向智能化方向演進(jìn)，在關(guān)注算法公平性、數(shù)據(jù)合規(guī)使用以及系統(tǒng)安全防護(hù)的同時(shí)，AI安全智能體的崛起將為企業(yè)安全防護(hù)注入新的活力，成為推動(dòng)安全防護(hù)體系升級(jí)的重要力量。

從“碎片化防御”到“中樞神經(jīng)系統(tǒng)”

未來(lái)的安全防護(hù)體系將不再依賴于孤立的安全設(shè)備，而是通過(guò)構(gòu)建一個(gè)強(qiáng)大的AI安全中樞，實(shí)現(xiàn)各安全組件之間的協(xié)同作戰(zhàn)。這個(gè)中樞將能夠?qū)崟r(shí)感知威脅、自主決策并快速響應(yīng)，形成一個(gè)有機(jī)的安全生態(tài)系統(tǒng)。在這個(gè)生態(tài)系統(tǒng)中，各個(gè)安全組件不再是獨(dú)立的個(gè)體，而是相互協(xié)作的伙伴，共同為企業(yè)提供全方位的安全保護(hù)。

從“人力密集型”到“AI密集型”

隨著AI技術(shù)的不斷成熟，未來(lái)的企業(yè)安全運(yùn)營(yíng)將越來(lái)越多地依賴于AI智能體。這些智能體將能夠自動(dòng)處理大量的告警信息，進(jìn)行威脅檢測(cè)和分析，并自主做出決策。安全專家的角色將逐漸從“告警工人”轉(zhuǎn)變?yōu)椤癆I訓(xùn)練師”，他們將專注于訓(xùn)練和優(yōu)化AI智能體，使其能夠更好地應(yīng)對(duì)新型威脅。這種轉(zhuǎn)變不僅將大大提高安全運(yùn)營(yíng)的效率，還將降低人力成本，使企業(yè)能夠?qū)⒏嗟馁Y源投入到戰(zhàn)略層面的安全規(guī)劃和創(chuàng)新中。

從“被動(dòng)防御”到“主動(dòng)防御”

未來(lái)的安全防護(hù)體系將不再是被動(dòng)地等待攻擊發(fā)生，而是通過(guò)AI技術(shù)實(shí)現(xiàn)主動(dòng)防御。AI安全智能體將能夠通過(guò)行為建模和預(yù)測(cè)分析，提前預(yù)判攻擊者的意圖和行動(dòng)路徑，并采取相應(yīng)的措施進(jìn)行阻斷。這種主動(dòng)防御模式將大大降低企業(yè)遭受攻擊的風(fēng)險(xiǎn)，使企業(yè)能夠在攻擊發(fā)生之前就將其扼殺在搖籃之中。

從“成本中心”到“業(yè)務(wù)使能器”

隨著安全智能體的廣泛應(yīng)用，網(wǎng)絡(luò)安全將不再僅僅是企業(yè)的成本中心，而是成為推動(dòng)業(yè)務(wù)發(fā)展的使能器。通過(guò)智能化的安全防護(hù)，企業(yè)將能夠更好地保護(hù)其核心資產(chǎn)和業(yè)務(wù)流程，從而提高企業(yè)的競(jìng)爭(zhēng)力和創(chuàng)新能力。同時(shí)，安全智能體還將能夠?yàn)槠髽I(yè)提供實(shí)時(shí)的安全情報(bào)和風(fēng)險(xiǎn)評(píng)估，幫助企業(yè)做出更加明智的業(yè)務(wù)決策。

04安全預(yù)算的范式重置：投資智能化轉(zhuǎn)型

在AI技術(shù)的推動(dòng)下，網(wǎng)絡(luò)安全領(lǐng)域的投資邏輯也正在發(fā)生深刻的變化。傳統(tǒng)的安全產(chǎn)品已經(jīng)無(wú)法滿足企業(yè)對(duì)安全防護(hù)的需求，而AI安全智能體則成為了企業(yè)投資的重點(diǎn)方向。個(gè)人粗淺認(rèn)為，未來(lái)3年，安全市場(chǎng)的分水嶺將是‘有智能體’和‘無(wú)智能體’企業(yè)。前者將憑借其智能化防御能力獲得顯著優(yōu)勢(shì)，而后者則可能因缺乏有效防御而面臨更大的安全風(fēng)險(xiǎn)。

安全投資思考

企業(yè)應(yīng)盡快考慮將安全預(yù)算轉(zhuǎn)向Agentic AI產(chǎn)品。這種投資不僅將降低企業(yè)的總擁有成本（TCO），還將構(gòu)建起無(wú)法被AI黑客穿透的“數(shù)字護(hù)城河”。通過(guò)部署AI安全智能體，企業(yè)將能夠?qū)崿F(xiàn)從“碎片化防御”到“中樞神經(jīng)系統(tǒng)”的轉(zhuǎn)變，從“人力密集型”到“AI密集型”的升級(jí)，以及從“被動(dòng)防御”到“主動(dòng)防御”的進(jìn)化。這些轉(zhuǎn)變將大大提高企業(yè)的安全防護(hù)能力，使其在未來(lái)的市場(chǎng)競(jìng)爭(zhēng)中占據(jù)有利地位。

對(duì)CEO和CISO的意義

對(duì)于企業(yè)CEO來(lái)說(shuō)，將安全成本中心轉(zhuǎn)化為競(jìng)爭(zhēng)力引擎是企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展的關(guān)鍵一步。通過(guò)投資AI安全智能體，企業(yè)不僅能夠降低安全風(fēng)險(xiǎn)，還能夠提高運(yùn)營(yíng)效率和創(chuàng)新能力，從而為企業(yè)帶來(lái)更大的安全和品牌價(jià)值。對(duì)于CISO來(lái)說(shuō)，這是一個(gè)擺脫“救火隊(duì)長(zhǎng)”命運(yùn)，晉升為“戰(zhàn)略防御架構(gòu)師”的歷史機(jī)遇。通過(guò)引入AI技術(shù)，CISO將能夠從戰(zhàn)略層面規(guī)劃企業(yè)的安全防護(hù)體系，使其更好地適應(yīng)企業(yè)的業(yè)務(wù)發(fā)展需求。

安全產(chǎn)業(yè)的變革

隨著越來(lái)越多的企業(yè)將安全預(yù)算轉(zhuǎn)向Agentic AI產(chǎn)品，整個(gè)安全產(chǎn)業(yè)也將迎來(lái)一場(chǎng)深刻的變革。傳統(tǒng)的安全廠商將不得不加快向智能化轉(zhuǎn)型的步伐，否則將面臨被淘汰的風(fēng)險(xiǎn)。同時(shí)，新的安全技術(shù)和產(chǎn)品將不斷涌現(xiàn)，推動(dòng)整個(gè)安全產(chǎn)業(yè)向更高水平發(fā)展。未來(lái)3年，安全市場(chǎng)的競(jìng)爭(zhēng)將更加激烈，只有那些能夠快速適應(yīng)市場(chǎng)變化，積極投資AI安全智能體的企業(yè)，才可能在這場(chǎng)變革中脫穎而出。

05寫在最后

從「千萬(wàn)隨想」到AI智能體，網(wǎng)絡(luò)安全領(lǐng)域正在經(jīng)歷一場(chǎng)前所未有的變革。傳統(tǒng)安全體系的弊端在AI黑客的面前暴露無(wú)遺，而AI安全智能體將以其強(qiáng)大的智能化能力，為企業(yè)提供應(yīng)對(duì)新型威脅的新武器，成為推動(dòng)安全防護(hù)體系升級(jí)的重要力量。優(yōu)化安全預(yù)算結(jié)構(gòu)，加大對(duì)Agentic AI產(chǎn)品的投資，是構(gòu)建難以被AI黑客穿透的‘?dāng)?shù)字護(hù)城河’的關(guān)鍵。這不僅將降低企業(yè)的安全風(fēng)險(xiǎn)，還將提高企業(yè)的競(jìng)爭(zhēng)力和創(chuàng)新能力，使其在未來(lái)的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地。

回望「千萬(wàn)隨想」的征程，從千軍萬(wàn)馬的集結(jié)到千山萬(wàn)水的展望，安全防御正在經(jīng)歷從量變到質(zhì)變的飛躍。傳統(tǒng)安全的"千辛萬(wàn)苦"終將化為智能防御的"千方百計(jì)"，AI驅(qū)動(dòng)的安全范式不是未來(lái)，而是當(dāng)下。