尽管生成人工智能洪水工业话语的承诺在网络安全领域至关重要:大语言模型(LLM)既不足够,也不适应单独进行组织的数字辩护。现在,最先进的操作安全(SOC)中心远不是远不及无所不知的合同的想法,现在专注于混合体系结构,结合了经典IA,规则,图形分析和专业代理。
替代幻想,而不是运营现实
自从公众出现Chatgpt以来,网络安全部门已经看到了一个简化的视觉:越来越多的分析师能够将所有分类,调查和补救任务委派给LLM。从理论上讲,生成模型可以读取日志,解释警报,确定攻击方案并推荐答案。在实践中,这种整体自动化提出了几个关键限制:处理时间的缓慢,能源成本,响应可变性,最重要的是无法保证决策一致性。
LLM的主要问题不仅是幻觉,而且是一致性。两个相同的分析可以得出两个不同的结论。但是,在SOC中,决策的可重复性是信任的必要条件。
经典模型仍然必不可少
AI工具已经在安全环境中整合了多年 – 统计算法,行为检测模型,板上专家系统 – 尚未消失。他们提供了LLMS不提供的保证:执行速度,本机解释性,资源较低,结果的稳定性。
分析模型仍然具有实际价值。它们允许对特定用例的可靠检测,而无效黑匣子效应。板载反验证引擎,异常加密检测剂或用于访问管理的行为AI就是这种情况。
获胜建筑:专业,编排,监督
面对“唯一LLM”的限制,最先进的玩家采用了模块化逻辑。他们没有将所有内容都放在中央模型上,而是将专业的AIS在有针对性的任务上部署 – 对日志的解析,可疑电子邮件的分类,配置分析 – 由图形系统或进化规则进行精心策划。
然后,LLM可以发挥相关作用:上下文化,对非结构化数据的解释,摘要的产生,但始终在有监督的环境中,具有明确的保障措施。例如,在凯夫拉尔(Kevlar),每个AI决定都是可追溯,可审核的,并且充满了人类的反馈。目的不是要取代分析师,而是要节省他的时间而不会浪费控制。
有用的AI是一个谦虚,本地,受控的AI
在微软的一侧,谨慎行事。 Arnaud Jumelet在2025年Incyber的2025年版中回忆说,在生产中部署的解决方案通常是混合和本地的,例如Edge中嵌入的“刺激性阻滞剂”,它使用Light Vision AI检测错误的警报消息。 “这些模型很小,快速且对隐私的尊重。我们喜欢这种AI对敏感用途。”
在空洞中,这是单个和集中式AI神话的终结。网络安全的限制 – 合规性,可调性,误报的管理 – 施加了一个适合上下文的分布式AI,尤其是可控的。
走向集体智慧,而不是集中
它不是通才的合作者,而是专业代理的星座,如今似乎是最有前途的模型。敏捷模块,能够与各种数据进行交互,但由人类监督并整合到严格的治理框架中。
大规模的任务自动化并不意味着决策的自主权。相反,它在人与机器之间实施了新的作品分布,在这种情况下,可靠性,一致性和上下文化优先于流体文本。
在每个失误都可以打开关键缺陷的世界中,网络安全不需要甲骨文。它需要一个可解释的AI,专业和负责任的网络。和人类能够充分利用它。
