从产品主义迈向智能主义，安全智能体做对了什么？

——文章转自云数智观察

一分钟到底能完成多少事情？可以在塑胶操场上跑完400米，一气呵成完成35个俯卧撑，还可以书写12个英文单词，也足以让一支球队反败为胜……其实，完成一次典型的APT猎杀，也只需要一分钟而已！

近日曝出，从某金融机构的财务人员无意间点开钓鱼邮件，到安全运营人员收到告警，并根据分析报告在第一时间对可能受到影响的资产做出合理处置，只经历了短短60秒。

据悉，这是首次系统在无人类专家介入的情况下，智能化地捕获APT攻击。在这一创举的背后，AI Agent——360安全智能体发挥了至关重要的作用。

给安全运营装上“大脑”

回顾网络安全的发展历史，在迈向智能化时代的征程中，人始终处于主导地位，只不过在不同的阶段，承担的具体职能，以及人与AI之间的关系有所不同而已。

在AI技术应用于网络安全领域的初期，制定安全策略，发现和判别威胁与攻击，并采取应对措施，基本都要依靠网络安全专业人士，只有少量安全工具具有基础的智能化功能。随着AI技术不断走向成熟，特别是一些适宜AI的安全运营场景层出不穷，人类与AI间的交互模式也从工具型AI发展至助理式AI，各类AI副驾不再是机械地完成人类的指令，而是可以参与人类工作流，并与人类协同工作。以生成式AI、大模型的兴起为标志，基于大模型的AI Agent日趋独立，在特定业务场景中可以自主调用资源完成任务，而人类在其中主要起到监督和评估的作用。需要特别指出的是，虽然未来AI Agent会承担大部分的工作量，但是人类仍将在安全运营中发挥主导作用。

安全智能化发展的必然趋势是，只需给定一个目标，AI Agent即可针对目标独立思考、获取知识、自主研判并做出行动。它可以根据给定任务，详细拆解计划步骤，并依靠来自外界的反馈和专家引导，自主创建指令，以达成既定目标。正是由于大模型的出现，加速了AI Agent从理想照进现实。安全大模型如同给AI Agent装上的一个智慧的大脑，可以更好地支配各类安全工具，实现智能化的运营，提升安全能力的同时，也提高了运营效率，并降低了技术应用的门槛。

数据、专家、工具
安全新范式一个也不能少

从ChatGPT诞生之初，关于通用大模型将一统天下，还是垂直大模型更具商业落地价值的争论便不绝于耳。IDC的调研显示，网络安全是生成式AI影响最大的行业之一。安全行业垂直大模型既是必须也有可能。

就在国内外众多安全厂商纷纷试水大模型应用之时，360率先推出了AI Agent。这不仅仅是又一次技术上的突破，更被认为是智能化安全服务新范式的开端。

360为什么能够抢得杆位？在回答这个问题之前，还是先让我们了解一下，到底什么是Agent智能体。所谓Agent智能体，是一种能够感知环境、进行决策和执行动作的智能实体。360安全智能体以360安全智脑大模型为核心，统筹任务编排引擎、任务生成引擎、监督评测引擎、指令调度引擎、记忆存储、执行反馈等组件，并综合利用360安全智脑大模型的生成能力和专家经验，灵活自适应地编排任务方案，实现对安全工具的准确调用，从而具备了智能化安全运营的能力。

对安全智能体进行拆解你会发现，它的核心组成要素就是“数据、专家、工具”。

所谓无数据，不智能。如果没有海量、高质量的安全数据、样本、特征等数据语料喂给大模型，那么智能化只能是空中楼阁、纸上谈兵。360的核心优势之一，正是积累了全球规模最大的安全大数据、最广泛的样本，以及最丰富的威胁行为特征。将这些数据、样本、特征赋予大模型进行训练，才有了360安全智能体的“内生智慧”。

许多企业在安全防御过程中之所以漏洞百出、捉襟见肘，皆因缺少专业的网络安全人才，而很多时候高精尖的人才是可遇而不可求的。拥有众多专业的安全人才，同时还能将其丰富的经验固化下来，并举一反三，这对安全攻防实战来说是最强大的底气。360的安全专家拥有近20年的攻防实战经验，沉淀并形成了攻防技战术图谱，一方面内化为安全大模型的能力，另一方面储存至安全智能体记忆模块中，能够持续增强安全智能体的编排能力。

如果将安全智能体比作一个人，那么大模型就是大脑，各类安全工具就是四肢。大脑灵活指挥，四肢协调运作，才能让安全策略得到坚决而彻底的执行，才能让自动化的安全运营事半功倍。多年以来，360持续深耕安全垂类场景。360安全智能体可以适配、控制、协作各种类型的安全工具。同时，360安全智能体作为一个平台，还可以兼容支持生态伙伴的各种安全工具，更好地以体系化的方式解决复杂的安全运营问题。

其实从首推在线杀毒开始，到提出安全即服务，再到今天发布安全智能体，360一直在以创新思维推动着对传统网络安全的颠覆。这源于360对趋势的敏锐洞察，安全的互联网化、服务化和智能化，以及可运营是大势所趋。

具体到安全智能化，360在战略上运筹帷幄，在战术上稳步推进。2023年6月，360发布了认知型通用大模型360智脑4.0，同时宣布360智脑已接入360旗下产品全家桶；同年8月，360发布国内首个可交付的安全行业大模型——360安全大模型；如今，360又实现了从安全大模型到安全智能体的跃进，360安全智能体能够显著提升单个产品和系统整体的安全能力。

与工具型安全厂商不同，360是安全平台型厂商，安全智能体的加持，能够更好地发挥其平台的特长，赋予日益增多的生长在此平台上的安全功能、安全工具以智能，实现更好的协同，并对安全生态建设起到积极的促进和带动作用。

场景化是突破口

借助生成式AI，吟诗作赋、画画聊天都是不错的选择。但是在企业级应用场景中，这些似乎都不是关键。尤其是在网络安全领域，很多用户对于“语音问答”兴趣不高。从功能上来讲，仅有安全问答、告警解读等单一功能的安全大模型，难以消除用户真正的痛点。正如360集团首席科学家兼360数字安全集团CTO潘剑锋所言，“安全大模型要真正为客户解决痛点问题，才能被客户所接纳”。因此，无论对于安全厂商，还是行业用户来说，生成式AI的场景化无疑是当前最紧迫的任务。

上文提到的360安全智能体仅用一分钟便完成了智能化APT猎杀，之所以能够引起业内的广泛关注，一个重要原因是，它发掘出了360安全智能体最适用的场景之一，能够带给用户实实在在的价值。

360立足“小切口、大纵深”的方法论，以“安全场景适用度”为指标依据，构造适合大模型特性的高价值安全场景，助推安全智能体的落地应用。从实践来看，360安全智能体面向自动化威胁狩猎、自动化安全运营等，已经实现了场景自动化，即由人类负责设定目标、提供资源和监督结果，安全智能体负责完成任务拆分、工具选择和进度控制等，然后再将执行结果返回给人类。

安全专业能力的提升，以及更加易用和中小企业也能负担的成本，是360安全智能体未来能够在行业长驱直入的根本因素。“数字安全已经从卖单品盒子的产品主义阶段，进化到了当前以能看见处置威胁为核心的能力主义阶段，未来还将发展到利用人工智能技术赋能安全工具，颠覆传统运营模式的智能主义阶段。在智能主义阶段，最大的痛点就是在水准线以上的安全运营专家的不足。大模型的出现为解决这些问题开辟了新途径，也为数字安全带来了新范式，即智能主义——安全智能体+安全工具。”潘剑锋指出，“未来，安全智能体将逐渐替代人类，使用各种安全工具，完成越来越复杂的任务。这将是整个行业努力的方向。”

01

● ISC2023周鸿祎发布战略级产品360安全云，首提安全即服务

02

●360正式发布行业首个可交付安全大模型应用

03

● 从通用大模型迈入安全大模型 为企业安全运营降本增效

04

● 【AI首战】仅需一分钟，360安全智能体(AI Agent)完成了智能化APT猎杀