生成式网络安全AI首次入选Gartner报告 早期实践仍需调优

年初，ChatGPT的横空出世，推动了AIGC（AI Generated Content，生成式人工智能）大赛道进入全民视野，这一项数字时代的重要技术创新，已被智库团队评估为拥有万亿人民币市场潜力，而在早期应用的百亿规模市场上，我们看到的是AIGC赛道投融资不断，以及各级产业上的尝试与努力。

在网安产业上，厂商也在尝试着对AIGC技术进行落地实践，以至于技术的早期创新已被智库所观察。如今，生成式网络安全AI更是出现在了Gartner最新的《2023安全运营技术成熟度曲线（Hype Cycle）》报告当中，其观察到的是生成式网络安全AI已经有了早期的实验性用例。

安全厂商Adarma推出的另外一份专业性报告指出，尽管人工智能技术的创新和进步仍有巨大空间，但已有超过六成的企业用户认为人工智能技术可以有效处理高达的30%-50%的安全运营工作，且随着技术的进步应用带来的自动化安全生产力将会不断释放。这说明企业用户对人工智能技术在支持网络安全工作方面保持积极态度。

Gartner在《2023安全运营技术成熟度曲线（Hype Cycle）》报告中对生成式网络安全AI作出如下定义：生成式网络安全AI技术通过从大型原始源数据存储库中学习，生成与安全相关和其他相关内容、策略、设计和方法的新衍生版本。生成式网络安全AI可以作为公共或私有托管云服务交付，也可以嵌入安全管理接口，还可以与软件代理集成以采取行动。

Gartner认为，网络安全厂商可以利用生成式网络安全AI来改进现有的工作流程，现有厂商和初创厂商已经开始实践生成式网络安全AI，去进行功能替换或扩展。而组织将受益于生成式网络安全AI，因为它可以提高效率并缩短对网络安全风险和威胁的响应时间。

对于所要服务的客户而言，其拥有明确的生成式网络安全AI技术应用驱动力，比如安全运营团队无法跟上他们必须审查的大量安全警报，风险分析人员需要加快风险评估速度，并利用高度自动化提高灵活性，而在这方面普遍存在技能和工具上的短缺。

不过当前阶段各方对生成式AI本身仍保持警惕，所以也会明确指出其处于早期应用阶段，需要留意技术本身的安全性。如生成式网络安全AI，其在数据集训练上如何规避敏感数据的同时又能输出商用级的准确结果，这对其最终功能性应用是主要挑战。另外，技术应用的早期阶段，信任与修正仍然是个长期的过程，即技术和决策需要监督，直到企业能够完全对其保有信心。

当然，无论如何这都是安全厂商们的一次重大机遇，人工智能技术始终是安全自动化的核心技术之一，在需要保持技术警惕的同时，任何的场景化落地与尝试，都能够为自家产品提供未来战略先机。当然，Gartner虽然在最新报告中提出该技术，但我们也会看到此次他们并未推荐任何示例厂商，这也说明赛道本身还需要不断观察。

Gartner在《2023安全运营技术成熟度曲线（Hype Cycle）》报告中对生成式网络安全AI技术在用户层面推荐上做出多项精简描述，总结而言，尚处于技术早期阶段，生成式网络安全AI在应用上甚至可能会产生更高的误报率，但技术本身需要关注，因为会有越来越多的安全厂商正向产品中添加这一功能，而重点在于企业用户应选择与安全相关的微调模型。

高速增长的云安全厂商Wiz最近组织了一场针对人工智能在安全领域应用的一场对话，对话中Semgrep安全研究主管Clint Gibler就谈及了他对人工智能的诸多看法，其主要观点在于如果使用得当，人工智能可以在某些方面帮助解决一些问题，但人工智能并非每次都能完美的工作。不过即使它不能完美地工作，它仍可以使很多工作更快、更容易、更便宜。

显然，机器学习在网络安全领域的应用相较成熟，绝大多数应用都利用机器学习提升处理数据的效率问题，而大语言模型带来的生成式AI应用还需要不断创新和实践，在不完美与完美之间探寻平衡。而在开源生态当中，类似项目可能会引起额外关注。

大家都在进行这方面的创新，这并不意外。安全419最近与亚马逊云科技大中华区产品部多位产品和技术专家交流曾提及生成式AI的产品化问题，我们得到的反馈是生成式AI将在未来以不可阻挡的应用趋势不断发展，但当前属于早期应用阶段，技术落地更多集中于成熟的场景当中，比如亚马逊云科技全线产品也都在尝试加入生成式AI能力，但落地最顺利的还是Amazon CodeWhisperer、Amazon CodeGuru Security这两款应用。

可以看得出来，任何应用程序都可以集成AI技术，这是自动化响应提升效率的前提保证，而就生成式AI而言，技术发展的早期阶段如何把这一技术应用到安全产品当中，实际上大家处在的是同一起跑线。这当然不是厂商的能力问题，而是因为大语言模型在应用上的探索处于初期阶段。

万径安全（原四维创智）是国内为数不多的，真正意义上的在自家产品中上线生成式AI功能的安全厂商，该功能已经作为Yakit的插件，被用于提供知识问答、情报检索、分析扫描等功能。万径安全CTO姬锦坤曾告诉安全419，从其早期实践取得的经验来看，生成式AI背后的大模型仍然需要结合场景不断被修正。

作为技术应用的早期阶段，当前厂商一侧能够给予的生成式AI在安全上的主要用例可能更多集中于Gartner提出的“创建通用的最佳实践指南”，对此厂商的看法是技术必须有一次大的跨越，因为生成的数据在没有核实之前，都是预测型数据，在不能保证100%准确的前提下，就无法实现真正意义上的工程化，或者就算工程化、产品化，仍然需要人参与辅助。

当然，如何将生成式AI技术应用到安全产品当中，更多地是去思考安全本身的应用，不过也有厂商另辟蹊径，比如吉大正元就把这项技术作为订阅式服务添加到了其平台型安全产品——吉大正元数字卫士安全私有云当中。其做法是平台肩负企业办公场景上的网络安全和数据安全统一管控问题，附加人工智能技术订阅服务，如智能营销、智能客服、智能招聘，其做法在于能够为企业提供了日常运营的数字新技术，同时利用技术黏性增强平台安全应用。

当前，绝大多数国内一线安全厂商都发布了自家的安全大模型，并结合自身优势领域去做微调应用，但就生成式AI参与的工作来看，还是属于安全运营工作当中的辅助角色，而非处于精准的决策地位，生成式AI能够真正意义上的应用到安全产品当中，输出全面的有价值的结果，并参与应用的自动化进程，距离这种卓越级表现仍需时日。