攻击视角（提升需求）

- AI赋能安全攻击：AI/大模型显著降低安全攻击门槛，进一步放大威胁，推动行业对安全解决方案的需求增加。

- 大模型自身风险：数据安全与AI工程化能力成为直接拉动安全投入的关键因素，涉及训练数据治理、模型应用中的隐私与泄露风险等。

防御视角（改造产品）

- AI/大模型改变安全产品形态：在能力层面提升（从一线运营到安全专家的能力扩展）和在效率层面提升（从天/时级响应到秒级处置），从而改变市场竞争格局。

AI赋能安全攻击加剧整体安全威胁

- 大模型/生成式AI对网络安全的影响不仅体现在防御产品形态的变革，还通过大幅降低攻击门槛提升行业总需求。

- 安全攻击新形态包括社会工程、漏洞与攻击面发现、恶意代码生成等。自动化攻击工具进入规模化和产业化阶段，相关市场价格体现出持续扩张的商业化潜力。

AI/大模型存在原生安全问题

- 数据安全与AI工程化是最易受影响的领域。训练阶段的数据采集、偏见、数据投毒等风险，以及应用阶段的数据泄露、隐私暴露等风险，需要通过数据加密、隐私计算、数据治理等手段来保障。mile米乐

AI 2.0：安全能力的又一次进化

海外AI+安全Copilot工具

- 安全 Copilot 类产品已形成多家头部厂商布局，核心能力包括基于自然语言的安全状态查询、威胁搜索与事件响应等，帮助安全运营提效。

AI+安全的结合点：安全运营

- 安全运营与安全平台成为AI+安全的主战场。目前主要产品形态分为两大类：

1) 安全Copilot 产品：以自然语言交互辅助安全监控、威胁检测、资产风险评估与汇报生成等，提升安全运营的自动化水平。

2) AI驱动的安全平台：以集成化平台形态存在，将EDR/XDR/SOAR/UEBA等能力通过AI驱动实现协同与自动化。

为何聚焦安全运营

- 安全运营是安全体系中自动化程度相对最低、数据碎片化、威胁海量但多数并非真实威胁的环节。AI有望显著降低运营门槛、提升响应速度与精度。

AI将带来安全运营效率的飞跃

- 能力提升：使经验不足的IT与安全人员能够做出更快更好的决策，快速达到中高阶安全人员的处置水平。

- 效率提升：自动化数据收集、提取、威胁搜索和检测等繁琐任务，缩短关键事件的响应时间，并可通过自然语言驱动的工作流实现各类检测、调查与处置。

微软Security Copilot：首个生成式AI安全产品

- 以自然语言输入实现安全事件解读、优先级排序、深度分析、知识助手、态势评估与报告创建等功能，辅助安全管理人员提升运营自动化水平，具备多种协同与分析能力。

CrowdStrike Charlotte AI

- 定位为虚拟安全分析师，帮助SOC分析师自动化履行职责。通过对话获取威胁信息、资产风险、修复建议并能生成相关报告，扩展AI在安全运营中的应用边界。

CrowdStrike Charlotte AI的核心功能

- 安全管理与态势感知：通过简单查询实时洞察风险、漏洞与关键资产风险等级、合规与性能指标等。

- 威胁搜索与威胁狩猎：帮助缺乏经验的人员快速做出决策，缩短对关键事件的响应，进行对手分析、常见漏洞利用与端点 IOC 的快速定位与修复建议。

- 安全流程的自动化：自动化数据收集、提取、基本威胁搜索与检测等重复任务，简化检测、调查和响应工作流，无需编写代码即可实现横向移动等检测。

CrowdStrike基于AI驱动的XDR平台框架

- 将大模型能力纳入Falcon平台的核心组成部分，结合高保真数据，为整个安全体系提供生成式AI能力。

CrowdStrike Charlotte AI的商业化实施与展望

- 将数据、AI与平台深度整合，显著降低运营时间并提升交互体验。未来对市场规模的估计看好，相关定价与商业化路径在持续优化中。

XSIAM：AI驱动的扩展安全智能与自动化管理

- Palo Alto Networks推出的云交付集成SOC平台，整合EDR、XDR、SOAR、ASM、UEBA、TIP、SIEM等模块，贯通威胁检测、事件管理、威胁情报、自动化、攻击面管理等能力。

- 商业化初期便展现出强劲势头：首年收入目标超出预期，后续在管线规模与模块扩展方面持续扩大。

XSIAM背后的AI与商业化成效

- 以精准AI提升检索与响应效率，结合生成式AI实现便捷交互与理解。数据处理能力显著提升、误报降低、自动化率提升，事件响应时间显著缩短。

- Cortex板块在市场认可度方面持续提升，XDR、SOAR、Xpanse、XSIAM等产品形成协同，AI+安全的协同效应明显增强。

AI+安全运营的市场空间测算

- 安全服务市场规模约800亿美元，若AI替代一半的安全服务并实现半数人力成本节省，潜在规模约为200亿美元。若采用甲方乙方1:1投入模式，AI安全运营的总潜在市场可达到约400亿美元。

关注安全行业格局长期提升的机会

- 当前格局下，各子赛道由头部厂商主导，缺乏统一的大平台与全局化解决方案。技术迭代虽频繁，但常常被内生化吸收，真正引发格局性变化的往往来自规模性、跨域的产品能力跃迁。

- AI+安全的长期机会取决于两点：技术的颠覆性（是否能带来显著的产品变革）和赛道规模的容量（云端安全大数据和平台化能力的整合度）。

国内AI+安全的进展与落地模式

- 国内多家头部厂商已发布AI+安全产品，当前处于测试与推广阶段，未来有望全面落地。痛点在于将AI能力落地到大规模实际应用，推动新的安全品类与解决方案。

- 大模型落地的模式存在差异：海外以云化部署为主，国内多偏向私有化本地化部署，出于数据安全、算力成本与本地实施需求的考虑，训练/推理一体机成为重要方案。

大模型落地的两种路线

- 路线一：以国产安全垂直大模型为核心的本地化解决方案，支持多场景部署，实现对关键数据的严格控制与本地化运行。

- 路线二：结合云端能力的混合部署，利用云端大数据与模型能力提升，满足对数据量大的企业场景的需求。

模式案例简析

- 深信服安全GPT：在国内推出的安全领域大模型，具备检测引擎与运营助手两大能力，通过SaaS化与本地化部署满足不同客户需求，已落地为托管安全服务的智能化支撑。

- 安恒恒脑大模型及昇腾一体机：围绕本地化落地能力，提供大模型与计算设备的一体化方案，面向多场景的安全运营与检测任务。

总结

- AI对网络安全的影响在攻防两端都在持续放大。攻击侧的AI能力将降低入场门槛、扩展攻击面；防守侧的AI能力将改变安全产品生态、提升运营效率。

- 海外市场已有明确的商业落地案例，Copilot类与AI驱动的安全平台两类产品共同推动安全运营的自动化和规模化落地，头部厂商的市场地位因此增强。

- 国内在AI+安全领域处于快速布局与试点阶段，未来将通过本地化落地与云端协同来实现大规模应用，形成新的产业增长点。