距上一篇文章发布,已经过去快一年了。那会儿聊的是在大模型实践里摸到上帝脚指头的感觉——2024年,把这个感觉变成了实打实的动作。整年都扑在大模型+安全这件事上,深度参与了几个有分量的项目:安全大模型第一次大规模用在国家级攻防演习里,几个项目的POC一路做到落地,还推动了一些场景从0到3的孵化上市。这一路也跑了大半个中国,见了上百个客户,有些新的认知和感悟,简以记之,形成此文。

一、市场认知与需求变化
和2023年相比,甲方乙方对于这件事的认知,终于从“聊概念”走进了“谈落地”,而且出现了很明显的分层。这不是简单的成熟不成熟的问题,而是市场开始用脚投票了。
1、头部大客户在安全大模型上的投入,基本是跟着整个公司对大模型的战略决策走的。业务大模型建设先行,安全大模型的落地需求里,“自主可控”排到了“效果表现”前面。这个顺序,很关键。
2、中等规模客户,在部分场景上开始尝试实践了,但心态是摸着石头过河。投资很谨慎,明白自己不可能从0到1重新搭一套,所以非常看重投入产出比。效果好不好先不说,钱得花在刀刃上。
3、广泛的合规驱动类客户,接受安全建设里有大模型能力存在,但受限于自身规模和安全预算,更倾向于SAAS化能力接入。投资预算低,对效果的期待基本是锦上添花——有总比没有强,但不会指望它解决核心问题。
除此之外,受政策和技术氛围的驱动,头部和中等客户都开始催生一些创新需求,这不是伪需求,是真正在找落地场景。
二、技术认可的变化
2023年的时候,我们在做技术认可,核心思路就是让客户看到一个能自然语言对话的产品,然后讲应用场景和效果。到了2024年,这套辅助对话式的认可方式基本就不再怎么用了。一方面客户自己在快速成长,对安全大模型的理解已经不止于“能聊天”;另一方面,厂商的解决方案也进入了深水区——开始真正去解决客户日常运营里的痛点问题,比如高质量的告警降噪、透明式的告警研判、自动化的响应处置、高级对抗检测等等。
说实话,大模型在告警降噪、威胁检出、智能处置这些方向上确实取得了一些成绩。但因为安全目标本身没有发生本质变化——比如在安全运营里,基于SIEM的大数据分析、基于XDR的场景化分析,这些手段的目标都是提高运营效率和质量——所以新技术出现后,如果效果和范式还没成为业界共识,乙方就得算投入产出比。在当前这个降本增效的大环境下,这个账算得更细了。
过去一年,我们花了很多精力去证明一件事:大模型在某些安全场景里,到底能带来多大价值?比如安全运营场景、高混淆对抗检测场景。通过不断和用户碰撞,也受益于同行的共同参与,逐步沉淀出了一些可以体现提质增效的指标,并且成功用上了。这一步,走得不容易,但走对了。
三、未来发展与建议
总的说来,大模型技术还在快速迭代。从基础模型的选择,到安全垂直模型的打造,再到场景化安全智能体的开发与应用,每一个环节都在变化。展望一下未来,几个方向的判断值得关注:
产品形态层面
- 安全Agent + RAG会成为主要落地方式。这不是假设,是已经开始验证的路径。
- 多安全Agent会走向统一管理,并适配不同底层算力。多样性是现状,但统一管理是趋势。
场景层面
- 安全运营提质增效依然是场景落地的首选。但怎么处理好和客户现有建设的关系——是服务之、赋能之,还是淘汰替换之?——这才是真正的考题。
- 实时流量场景下的高级威胁检测,短期内受限于成本和价值认知,以能力引擎的形态进入市场,推广效率更高。直接以产品形态切入,时机还不成熟。
- 情报生产会逐步成为安全运营场景的需求,也是体现安全大模型产品竞争力的关键。这项能力对升级甲方安全运营效果有“杠杆效应”,可以参考安全卡尺模型。
- 数据识别与风险发现,会成为数据安全领域大模型投入的关键价值点。这个方向,值得持续投入。
- 一些相对独立的赛道,会带来更直接的安全效果表现——钓鱼邮件检测就是典型代表。
乙方投入上
- 逐步沉淀自身的安全大模型底座层,并持续迭代。这是长期竞争力的根基。
- 组织架构上,需要有决心做出战略变革。历史包袱该丢就丢,轻盈敏捷才能反赌。
- 注重大模型人才的培养,产研和市场都不能落后。技术再好,没人能推也白搭。
- 投入收益需要有预期,尊重客户投资规律。不切实际的预期,会毁掉真正的机会。
- 单项能力的突出效果难以驱动用户买单。技术再牛,如果做不成好用的产品,用户就是不买账。
甲方选择上
- 0到1打造(基于基模开展预训练、微调到推理应用),需要谨慎决策。建议采用部分商业订阅+部分共创的形式,降低风险。
- 认真、实际地审视当前建设下的效果与成本。引入安全大模型时,场景优先级要有选择,不是所有地方都需要大模型。
- 开始积累数据和培养懂大模型的人才,为后续引入大模型做客制化调优做准备。人才和数据的储备,越早越好。
斗转星移,辞旧迎新,下一个春天就要到了。安全大模型的春天何时到来?也许,它已经在路上。
