智能安全运营：大模型工具协同与学习框架

大模型技术的快速发展，给智能安全运营技术提供了全新的交互范式、任务分析范式与思路，并从分析维度、整合维度、协同维度，为经典网络空间人工智能技术栈的升级提供了重大机遇。包括：

参数规模的指数级提升，使得大语言模型具备了世界知识与常识体系，这是大模型技术发展出通用智能的关键基础与关键特性。特别是领域知识+领域常识，使得大模型能够充分的缓解困扰网络空间人工智能发展的一个核心难题——数据模式与安全语义的鸿沟问题。这是传统小模型（LLM之外的经典机器学习、深度学习、知识图谱等技术）所难以解决的。

小模型技术主要擅长统计分析问题。限于其实现原理，大部分技术手段所提供的能力在于拟合学习。然而，网络空间安全的任务多元性、环境开放性，导致经典的拟合学习能力是受限的而且极易衰减的。基于大规模参数基础及指令学习等核心框架，大模型已具备逻辑分析基础，为少样本、零样本的学习场景提供了支持。

网络空间对抗的主体终归在于人。大模型技术大幅推动了语言模型的交互水平，从交互范式上，能够较为彻底的将人从指令学习中解放出来，通过自然语言统一安全能力指挥的界面，大幅降低交互成本、提升交互体验，对于网络空间安全运营这种数据、工具、文档、目标复杂的分析场景来说，是重大的技术革命。

不限于以上核心能力的提升，大模型技术将从多维维度充分推动网络安全运营全流程的自动化升级。

大模型可以在网络安全运营中提供很多关键任务支撑的角色，如告警研判分析、报告摘要总结、响应执行建议、安全知识问答等等。从实现LLM+SOAR的统一分析界面与协同框架来看，大模型作为交互界面+决策大脑的角色更为关键。语言模型（例如ChatGPT）作为连接多种工具或AI模型（例如Hugging Face中的模型）解决复杂任务的一个典型框架——HuggingGPT框架如图1所示[1]。

从核心任务来看，将大模型作为交互中枢，实现工具协同，主要需要实现以下几个阶段的核心能力：

    1. 任务规划阶段：分析用户请求，解析其中的任务目标、任务参数、任务条件等，完成整体的任务规划，包括具体的子任务序列、任务依赖关系等等。

    2. 工具选择阶段：从每项任务的候补工具池、模型池中，选择满足任务要求的工具，形成工具链。

    3. 任务执行阶段：按照任务规划，协同调用工具集合完成子任务，收集执行结果并传递关键上下文。

    4. 响应生成阶段：整合所有工具的执行过程与结果，形成解决任务目标需求的完整结果。

从功能角色来划分，典型的工具协同和学习范式主要包括几个核心逻辑单元，即工具集（Tool Set）、环境（Environment）、控制器（Controller）以及感知器（Perceiver），如图2所示[2]。

大模型可以在网络安全运营中提供很多关键任务支撑的角色，如告警研判分析、报告摘要总结、响应执行建议、安全知识问答等等。从实现LLM+SOAR的统一分析界面与协同框架来看，大模型作为交互界面+决策大脑的角色更为关键。语言模型（例如ChatGPT）作为连接多种工具或AI模型（例如Hugging Face中的模型）解决复杂任务的一个典型框架——HuggingGPT框架如图1所示[1]。

可以看到，ChatGPT等商用或开源大模型的插件系统逐渐完善，AutoGPT、AgentGPT、HuggingGPT等诸多大模型驱动的开源工具协同与学习框架已成为大模型领域的关键热点，Microsoft Security Copilot、Google Sec-PaLM的核心能力，实际上也是基于大模型的工具学习范式。能否解决实际安全运营中关键痛点，才是检验大模型技术实战能力的关键衡量标准。值得注意的是，大模型是智能安全运营技术体系中的核心能力之一，而不是全部。统一消歧的数据图谱、完整完备的工具支撑体系、专用专精的“小模型”库以及支撑协同调度的统一执行框架，这些典型安全分析能力仍然是发挥大模型安全价值的关键基础。

内容编辑：创新研究院 张润滋
责任编辑：创新研究院 舒展