當(dāng)前，網(wǎng)絡(luò)安全威脅的復(fù)雜性和智能化程度進(jìn)入前所未有的快速發(fā)展，傳統(tǒng)的被動(dòng)防御模式已難以招架。在這種背景下，AI賦能的主動(dòng)防御正在國內(nèi)推動(dòng)網(wǎng)絡(luò)攻防范式的變革。這種變革不僅僅是簡單地升級(jí)現(xiàn)有安全工具，而是從根本上改變安全攻防的規(guī)則，推動(dòng)企業(yè)從被動(dòng)響應(yīng)轉(zhuǎn)向安全左移的主動(dòng)防御。那么，這股AI賦能的主動(dòng)安全防御浪潮在國內(nèi)發(fā)展得如何？本文將帶你一探究竟。

一、國內(nèi)AI賦能主動(dòng)安全市場應(yīng)用現(xiàn)狀

國內(nèi)AI賦能主動(dòng)防御的市場成熟度正處于快速發(fā)展期，但總體仍處于局部應(yīng)用和探索階段，并且國內(nèi)市場增長的潛力巨大，需求側(cè)驅(qū)動(dòng)明顯，競爭加劇，產(chǎn)品形態(tài)日益多元。

圖片

國內(nèi)AI賦能主動(dòng)安全市場應(yīng)用現(xiàn)狀

1）國內(nèi)市場整體處于成長期，但增長潛力巨大

國內(nèi)AI賦能主動(dòng)防御市場整體仍處于成長期，多數(shù)項(xiàng)目以局部應(yīng)用和試點(diǎn)驗(yàn)證為主，但市場潛力巨大。伴隨數(shù)字化轉(zhuǎn)型和合規(guī)實(shí)戰(zhàn)需求的增長，國內(nèi)網(wǎng)絡(luò)安全市場整體呈上升趨勢，國內(nèi)企業(yè)客戶對AI賦能安全和AI應(yīng)用安全的需求呈現(xiàn)快速增長，尤其是人工智能在告警降噪、威脅檢測與響應(yīng)自動(dòng)化等領(lǐng)域的滲透率逐年提升。

國內(nèi)市場潛力巨大，主要受多方面因素驅(qū)動(dòng)，其中實(shí)戰(zhàn)演練、威脅復(fù)雜化與人才短缺是核心驅(qū)動(dòng)力。首先，國內(nèi)企業(yè)持續(xù)頻繁的攻防演練實(shí)戰(zhàn)演練，使國內(nèi)企業(yè)對主動(dòng)防御、威脅預(yù)測的理念接受度增強(qiáng)，國內(nèi)企業(yè)面臨日益復(fù)雜、隱蔽、智能化的網(wǎng)絡(luò)攻擊，傳統(tǒng)防御手段難以應(yīng)對，隨著人工智能在各行業(yè)的普及，國內(nèi)企業(yè)對人工智能等新型提升安全能力的期望值不斷提高。同時(shí)，企業(yè)普遍面臨網(wǎng)絡(luò)安全人才供給嚴(yán)重不足與需求爆發(fā)之間的矛盾，使企業(yè)對能夠提升效率、減少人工干預(yù)的AI解決方案需求迫切，尤其是在威脅預(yù)測與響應(yīng)的智能化升級(jí)方面。

2）國內(nèi)競爭格局激烈

國內(nèi)網(wǎng)絡(luò)安全廠商正積極布局AI賦能的主動(dòng)防御安全領(lǐng)域，市場競爭激烈。頭部綜合安全廠商如奇安信、綠盟科技等已全面布局AI能力，將AI能力封裝到現(xiàn)有解決方案，依托全面的產(chǎn)品線推出集成一體化智能化平臺(tái)，推出AI賦能的下一代安全產(chǎn)品。

部分傳統(tǒng)安全廠商則專注與自身擅長的安全領(lǐng)域，利用AI發(fā)揮智能化優(yōu)勢，例如江民科技利用AI人工智能引擎對未知病毒進(jìn)行高檢測率泛化檢測，指導(dǎo)創(chuàng)宇利用AI模型，結(jié)合威脅情報(bào)，打造創(chuàng)宇盾主動(dòng)防御產(chǎn)品。

同時(shí)，新興力量如默安科技、瑞數(shù)信息、睿安致遠(yuǎn)、衛(wèi)達(dá)信息、未來智安、云弈科技等，則專注于特定領(lǐng)域（如動(dòng)態(tài)防御、靜態(tài)防御、XDR、API安全、大模型安全、代碼安全等領(lǐng)域）的AI創(chuàng)新，并推出相關(guān)智能化產(chǎn)品和解決方案。

這種激烈的競爭格局正在加速國內(nèi)AI賦能主動(dòng)防御市場的技術(shù)創(chuàng)新和產(chǎn)品迭代。

3）國內(nèi)客戶聚焦，普遍關(guān)注提升效果

國內(nèi)AI賦能安全防御的主要客戶群體主要聚焦在政府機(jī)構(gòu)、運(yùn)營商、金融、能源等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，以及大型國央企、互聯(lián)網(wǎng)企業(yè)，這些行業(yè)安全建設(shè)完善，監(jiān)管要求高，并且普遍面臨IT環(huán)境復(fù)雜、擁有大量重要數(shù)據(jù)、安全運(yùn)營人員短缺等問題。

目前國內(nèi)用戶對AI賦能網(wǎng)絡(luò)安全已經(jīng)度過沖動(dòng)期，更加關(guān)注AI賦能后的實(shí)際效果，特別是降噪率和威脅研判的效率提升，是用戶重點(diǎn)關(guān)注的能力點(diǎn)，這些能力指標(biāo)直接關(guān)系到運(yùn)維效率的提升和人力成本的節(jié)省。對于更復(fù)雜的應(yīng)用，如自動(dòng)事件關(guān)聯(lián)調(diào)查和未知威脅的識(shí)別等應(yīng)用，由于成熟度和效果較難評(píng)估，目前接受度相對有限，但未來有更大的發(fā)展?jié)摿Α?/p>

4）國內(nèi)AI賦能主動(dòng)防御應(yīng)用效果顯著

AI賦能主動(dòng)防御在國內(nèi)安全領(lǐng)域已呈現(xiàn)顯著效果，國內(nèi)各大廠商的多項(xiàng)案例和數(shù)據(jù)表明，AI賦能主動(dòng)防御的應(yīng)用效果已開始顯現(xiàn)，目前主要體現(xiàn)在告警降噪、威脅檢測速度提升、事件響應(yīng)效率提高和安全防護(hù)能力增強(qiáng)等方面，并通過落地實(shí)踐證明了實(shí)戰(zhàn)價(jià)值。

圖片

國內(nèi)AI賦能主動(dòng)防御應(yīng)用效果顯著

廠商案例

江民科技：在某案例中，將勒索病毒攔截率提升至100%，漏洞修復(fù)效率提升80%，將安全事件處置閉環(huán)時(shí)間從2～7天壓縮至分鐘級(jí)，高危漏洞平均修復(fù)時(shí)間從72小時(shí)縮短至5小時(shí)以內(nèi)。

默安科技：欺騙防御系統(tǒng)捕獲并隔離了20萬+惡意IP，溯源16個(gè)社交ID，反制2個(gè)攻擊隊(duì)成員，并在演習(xí)中獲得2000+加分。釣魚郵件檢測準(zhǔn)確率提升99%。

奇安信：在某客戶的實(shí)戰(zhàn)化攻防演練中，告警總量從38萬降至17388條，過濾99%的無效告警，告警降噪率高達(dá)90%以上。MTTD比傳統(tǒng)SOC安全團(tuán)隊(duì)快1600倍（2.55秒vs69.75分鐘），告警升級(jí)快1400倍（8.97秒vs3.51小時(shí)）。并且攻擊鏈識(shí)別率達(dá)到100%，幫助客戶從“無法確認(rèn)威脅”到“清晰掌握攻擊全貌”。

瑞數(shù)信息：在某案例中，通過AI技術(shù)，模型API訪問風(fēng)險(xiǎn)全面收斂，攔截超過96%的非法模型請求，提示詞注入和對抗樣本識(shí)別準(zhǔn)確率從72%提升至93%，內(nèi)容合規(guī)準(zhǔn)確性提升至97.5%，自動(dòng)化攻擊響應(yīng)耗時(shí)減少約40%。

睿安致遠(yuǎn)：在某案例中，自主告警研判率從80%提升至99.9%，自主事件響應(yīng)率從50%提升至90%，事件平均調(diào)查時(shí)間從4小時(shí)縮短至10分鐘。

衛(wèi)達(dá)信息：在某案例中，幻境網(wǎng)絡(luò)動(dòng)態(tài)防御系統(tǒng)為客戶內(nèi)網(wǎng)檢驗(yàn)核實(shí)威脅6300余次，未知威脅得到100%處理，單個(gè)服務(wù)器端口虛開數(shù)量超過6萬，全息偽裝服務(wù)器梳理超過10萬。采用動(dòng)態(tài)防御技術(shù)，不基于特征庫，攻擊識(shí)別準(zhǔn)確率大于98%；針對已被定位為攻擊的響應(yīng)時(shí)間≤1秒，實(shí)現(xiàn)攻擊行為自動(dòng)封堵。

未來智安：XDR在某案例中，將威脅事件運(yùn)營效率從過去小時(shí)級(jí)提高到分鐘級(jí)，提升8倍以上。

知道創(chuàng)宇：在某案例中，創(chuàng)宇大模型網(wǎng)關(guān)實(shí)現(xiàn)了平臺(tái)部署和終端全量適配的快速落地，并幫助客戶優(yōu)化了自有模型，使月環(huán)比大模型使用量提升了213%。

注：效果數(shù)據(jù)來源廠商提供案例或特定場景，實(shí)際效果受到多種因素的影響，數(shù)據(jù)僅供參考，并不代表所有企業(yè)都能取得類似的效果。

二、國內(nèi)AI賦能主動(dòng)安全技術(shù)應(yīng)用現(xiàn)狀

國內(nèi)AI賦能主動(dòng)防御領(lǐng)域整體技術(shù)應(yīng)用成熟度正處于快速發(fā)展和創(chuàng)新的階段。目前廠商廣泛應(yīng)用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、知識(shí)圖譜等傳統(tǒng)AI技術(shù)，并且利用大模型和智能體等前沿技術(shù)積極探索各種AI技術(shù)在安全領(lǐng)域的深度應(yīng)用，并應(yīng)用于多元化的安全產(chǎn)品和服務(wù)中，涵蓋從事前預(yù)防、事中檢測響應(yīng)到事后分析加固的全生命周期。以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅。同時(shí)，大模型安全作為伴隨大模型技術(shù)興起的新領(lǐng)域，已迅速發(fā)展出專門的產(chǎn)品和評(píng)估服務(wù)，并得到政策法規(guī)和標(biāo)準(zhǔn)建設(shè)的支撐，以應(yīng)對大模型相關(guān)安全風(fēng)險(xiǎn)。

國內(nèi)AI賦能主動(dòng)安全技術(shù)應(yīng)用現(xiàn)狀

1）國內(nèi)AI賦能主動(dòng)防御的應(yīng)用百花齊放，多場景賦能安全主動(dòng)防御能力

國內(nèi)AI賦能主動(dòng)防御的技術(shù)應(yīng)用呈現(xiàn)百花齊放的態(tài)勢，AI的應(yīng)用場景從安全運(yùn)營拓展到未知威脅檢測、威脅狩獵、應(yīng)用異常發(fā)現(xiàn)威脅、溯源取證等全業(yè)務(wù)場景，形成了多樣化的實(shí)現(xiàn)路徑，各廠家通過融合不同的AI技術(shù)和數(shù)據(jù)源，構(gòu)建了針對未知威脅的精準(zhǔn)識(shí)別和主動(dòng)響應(yīng)能力。

• 動(dòng)態(tài)防御和欺騙防御：動(dòng)態(tài)防御是進(jìn)行動(dòng)態(tài)環(huán)境變化使攻擊者難以準(zhǔn)確鎖定和持續(xù)攻擊目標(biāo)。欺騙防御是通過部署高仿真度的誘餌系統(tǒng)，引誘攻擊者進(jìn)行互動(dòng)，從而主動(dòng)發(fā)現(xiàn)攻擊行為、收集攻擊情報(bào)。
• 利用情報(bào)和上下文分析主動(dòng)發(fā)現(xiàn)和檢測威脅：是實(shí)現(xiàn)智能威脅預(yù)測的核心路徑。這種強(qiáng)調(diào)將海量的外部威脅情報(bào)（如IOC、TTP、攻擊者畫像）與企業(yè)內(nèi)部的安全日志、資產(chǎn)信息、用戶等上下文數(shù)據(jù)進(jìn)行深度關(guān)聯(lián)和分析。
• AI驅(qū)動(dòng)的威脅狩獵：威脅狩獵是AI驅(qū)動(dòng)的威脅狩獵與情報(bào)能力的具體體現(xiàn)，主動(dòng)尋找尚未被自動(dòng)化檢測系統(tǒng)發(fā)現(xiàn)的威脅。AI在此過程中輔助分析師基于假設(shè)、線索洞察、威脅情報(bào)、行為異常等信息，主動(dòng)在海量數(shù)據(jù)中尋找尚未被自動(dòng)化檢測系統(tǒng)識(shí)別的潛在威脅活動(dòng)。
• 利用基于基線UEBA發(fā)現(xiàn)異常行為：這是行為異常檢測的核心實(shí)現(xiàn)路徑，不依賴于已知的惡意特征，而是通過AI持續(xù)學(xué)習(xí)用戶、系統(tǒng)和網(wǎng)絡(luò)等實(shí)體的歷史行為數(shù)據(jù)，建立動(dòng)態(tài)的“正常行為基線”，可發(fā)現(xiàn)未知威脅和內(nèi)部威脅。
• BAS、滲透測試和代碼安全

詳情請見安全牛本年報(bào)告《入侵與攻擊模擬BAS應(yīng)用指南（2025年）》和《AI賦能的代碼檢測/供應(yīng)鏈安全》

廠商案例

江民科技：Protoss?人工智能引擎專注于病毒檢測，特別是未知惡意軟件的識(shí)別，并應(yīng)用于終端安全產(chǎn)品，如赤豹終端安全管理系統(tǒng)，提供惡意代碼防護(hù)、威脅檢測響應(yīng)、行為審計(jì)、漏洞修復(fù)等功能。

競恒智能：提供AI安全合規(guī)服務(wù)（如大模型安全檢測、內(nèi)容安全防護(hù)）和AI運(yùn)營服務(wù)等。

綠盟科技：的風(fēng)云衛(wèi)AI安全能力平臺(tái)實(shí)現(xiàn)了告警降噪、未知攻擊檢測、自主調(diào)查、攻擊關(guān)聯(lián)分析、多維度研判、自主響應(yīng)處置等功能，正在向自主值守的方向演進(jìn)。

墨云科技：提供滲透測試多智能體，通過分解復(fù)雜任務(wù)并動(dòng)態(tài)分配，實(shí)現(xiàn)滲透測試從信息收集到數(shù)據(jù)竊取，全流程無需人工干預(yù)。

默安科技：以自主研發(fā)的“幻陣”高級(jí)威脅狩獵與溯源系統(tǒng)為核心，提供AI沙箱集群、高仿真郵件誘餌生成以及多平臺(tái)誘餌信息部署等服務(wù)。

奇安信：其AISOC產(chǎn)品將AI能力嵌入到研判、調(diào)查、響應(yīng)、報(bào)告、狩獵、策略創(chuàng)建等核心安全運(yùn)營工作中。此外，奇安信還提供AI+敏感數(shù)據(jù)泄漏檢測、AI+郵件安全網(wǎng)關(guān)、AI紅隊(duì)自動(dòng)化滲透測試、AI+應(yīng)用巡檢自動(dòng)化、AI+天眼威脅監(jiān)測與分析、AI+服務(wù)器安全管理、AI+終端安全響應(yīng)、AI+未知威脅檢測、AI+代碼衛(wèi)士、AI+數(shù)據(jù)分類分級(jí)、AI+數(shù)據(jù)安全風(fēng)險(xiǎn)研判、AI+威脅情報(bào)平臺(tái)及AI電子取證系統(tǒng)等。

瑞數(shù)信息：WAAP for LLM動(dòng)態(tài)安全超融合解決方案，主要提供大模型安全，包括提示詞注入、敏感信息泄露、API劫持等防護(hù)，并提供AI基礎(chǔ)設(shè)施安全掃描。

睿安致遠(yuǎn)：MetaSec-AI賦能中心融合AgenticAI和傳統(tǒng)AI，提供告警智能研判、事件調(diào)查處置、威脅分析、信息查詢統(tǒng)計(jì)等智能體服務(wù)。

衛(wèi)達(dá)信息：首創(chuàng)動(dòng)態(tài)防御的顛覆性主動(dòng)防御理念，通過融合移動(dòng)目標(biāo)防御、人工智能和欺騙防御等技術(shù)，將AI能力嵌入到自適應(yīng)策略跳變、智能動(dòng)態(tài)變換和智能封堵中，打破對手先驗(yàn)知識(shí)的積累；主動(dòng)變化避免威脅，減少攻擊面，增加攻擊者攻擊難度；不基于特征碼，不依賴歷史經(jīng)驗(yàn)，改變易攻難守的被動(dòng)局面及攻防規(guī)則。自研產(chǎn)品幻境－網(wǎng)絡(luò)動(dòng)態(tài)防御系統(tǒng)、幻影-Web動(dòng)態(tài)防御系統(tǒng)、幻勢－態(tài)勢感知安全管理中心、幻甲-終端動(dòng)態(tài)防御系統(tǒng)等，通過AI實(shí)現(xiàn)自適應(yīng)策略跳變、智能動(dòng)態(tài)變換和智能封堵。

未來智安：結(jié)合XDR和AI安全智能體運(yùn)營平臺(tái)，涵蓋全資產(chǎn)感知、威脅檢測、AI智能事件分析、攻擊事件回溯和自動(dòng)化編排響應(yīng)等能力，提升安全運(yùn)營效率。

知道創(chuàng)宇：將AI賦能于創(chuàng)宇安全智腦（威脅情報(bào)中心）、創(chuàng)宇盾（云防御平臺(tái)）和創(chuàng)宇大模型網(wǎng)關(guān)，覆蓋網(wǎng)絡(luò)安全和內(nèi)容安全領(lǐng)域，提供威脅情報(bào)訂閱、攻擊阻斷、統(tǒng)一大模型生產(chǎn)治理等服務(wù)。

2）國內(nèi)AI賦能的動(dòng)態(tài)防御/欺騙防御逐步精進(jìn)并被應(yīng)用于實(shí)戰(zhàn)

動(dòng)態(tài)防御是一個(gè)新興且備受關(guān)注的領(lǐng)域，通過動(dòng)態(tài)變換和欺騙防御技術(shù)，有效增加了攻擊難度。動(dòng)態(tài)防御通過主動(dòng)改變系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用環(huán)境，增加攻擊難度和成本，使其從被動(dòng)防御轉(zhuǎn)向主動(dòng)出擊。欺騙防御是另一種對抗性AI防御的重要實(shí)現(xiàn)手段，通過部署高仿真度的誘餌系統(tǒng)，引誘攻擊者進(jìn)行互動(dòng)，從而主動(dòng)發(fā)現(xiàn)攻擊行為、收集攻擊情報(bào)。

動(dòng)態(tài)環(huán)境變化使攻擊者難以準(zhǔn)確鎖定和持續(xù)攻擊目標(biāo)等方面的創(chuàng)新并被應(yīng)用于攻防演練實(shí)戰(zhàn)場景。同時(shí)，國內(nèi)各廠商在利用AI引導(dǎo)誘捕和反制能力方面也取得了顯著進(jìn)展，AI被用于生成高仿真度的蜜罐和誘餌，以提高對攻擊者的吸引力。同時(shí)，AI還提升反制能力，幫助企業(yè)獲取攻擊者信息，并進(jìn)行一定的反制行動(dòng)。

廠商案例

默安科技：以欺騙防御為核心，將攻擊流量重定向到“云蜜網(wǎng)”系統(tǒng)，混淆攻擊者目標(biāo)延緩攻擊進(jìn)程，通過AI生成動(dòng)態(tài)誘餌，并開發(fā)了反制技術(shù)，能夠獲取攻擊者敏感信息并控制其系統(tǒng)。

衛(wèi)達(dá)信息：國內(nèi)首創(chuàng)動(dòng)態(tài)防御技術(shù)，作為主動(dòng)動(dòng)態(tài)防御的領(lǐng)軍者，通過幻境－網(wǎng)絡(luò)動(dòng)態(tài)防御系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)、平臺(tái)、環(huán)境、軟件、數(shù)據(jù)等結(jié)構(gòu)的主動(dòng)跳變或快速遷移，構(gòu)建一個(gè)動(dòng)態(tài)變化的“前－安全”網(wǎng)絡(luò)防護(hù)體系，使攻擊者面臨一個(gè)動(dòng)態(tài)、異構(gòu)、不確定的網(wǎng)絡(luò)環(huán)境。

3）國內(nèi)AI賦能的威脅識(shí)別、告警降噪已經(jīng)趨于成熟

國內(nèi)AI賦能的威脅預(yù)警方面的應(yīng)用日益成熟，人工智能在惡意代碼和文件靜態(tài)/動(dòng)態(tài)分析、變種等識(shí)別方面已得到廣泛應(yīng)用，顯著提升了殺毒軟件的檢出率和對未知威脅的發(fā)現(xiàn)能力。同時(shí)國內(nèi)廠商在用戶與實(shí)體行為分析（UEBA）和網(wǎng)絡(luò)流量分析（NTA）多個(gè)方面積累了經(jīng)驗(yàn)，通過AI進(jìn)行基線建模和異常識(shí)別，有效發(fā)現(xiàn)內(nèi)部威脅、賬戶盜用、橫向移動(dòng)等。例如，國內(nèi)安全廠商的態(tài)勢感知平臺(tái)基本都集成了AI驅(qū)動(dòng)的UEBA模塊，部分廠商可以利用AI基線模型進(jìn)行基線的構(gòu)建和推薦。

國內(nèi)AI賦能的事件告警分析和智能研判技術(shù)已經(jīng)相對成熟，并取得了顯著的成果。多數(shù)廠商能達(dá)到80%以上噪音過濾，極大地提升了安全運(yùn)營人員的工作效率。AI在相當(dāng)智能分診中，能夠?qū)Χ嘣窗踩O(shè)備的同樣進(jìn)行智能分診，過濾掉大量噪音，聚焦高價(jià)值有效。

廠商案例

江民科技：Protoss?人工智能引擎將AI、算法和機(jī)器學(xué)習(xí)應(yīng)用于惡意代碼的預(yù)測，精準(zhǔn)識(shí)別勒索軟件和APT攻擊，將惡意軟件檢測、攻擊行為檢測、機(jī)器學(xué)習(xí)檢測引擎和威脅情報(bào)數(shù)據(jù)相結(jié)合，提升檢測準(zhǔn)確率。

綠盟科技：利用AI自主構(gòu)建行為基線的能力，進(jìn)行全量事件AI風(fēng)險(xiǎn)評(píng)分、自動(dòng)研判分析、告警日志與流量關(guān)聯(lián)以及攻擊有效性判定，實(shí)現(xiàn)自動(dòng)化攻擊事件調(diào)查并支持可視化攻擊圖和自然語言描述。

奇安信：AISOC是該領(lǐng)域的代表產(chǎn)品，AISOC以安全大模型智能底座（QAX-GPT），能夠自動(dòng)研判告警，精準(zhǔn)識(shí)別高價(jià)值威脅，通過AI智能關(guān)聯(lián)聚合多源告警來全面理解威脅，提供引導(dǎo)式事件調(diào)查，利用AI智能體技術(shù)和思維鏈推理將調(diào)查時(shí)間縮短至分鐘級(jí)。

睿安致遠(yuǎn)：MetaSec-AI賦能中心提供告警智能研判、攻擊者行為畫像分析和攻擊鏈分析等智能體，動(dòng)態(tài)調(diào)整研判路徑，并包含多種分析引擎。

衛(wèi)達(dá)信息：利用無監(jiān)督學(xué)習(xí)構(gòu)建安全輪廓刻畫技術(shù)，通過對無攻擊訪問虛假節(jié)點(diǎn)的可疑流量進(jìn)行分析，建立網(wǎng)絡(luò)正常流量的安全模型，并基于自適應(yīng)參數(shù)技術(shù)對內(nèi)網(wǎng)流量建立安全模型，預(yù)測網(wǎng)絡(luò)風(fēng)險(xiǎn)。

未來智安：通過AI技術(shù)基于用戶行為、進(jìn)程行為、網(wǎng)絡(luò)訪問等行為模型，智能識(shí)別惡意或敏感行為事件，并發(fā)出警報(bào)。

4）國內(nèi)AI賦能的威脅狩獵和威脅情報(bào)成為關(guān)鍵環(huán)節(jié)

威脅狩獵和威脅情報(bào)作為主動(dòng)防御的關(guān)鍵環(huán)節(jié)，國內(nèi)廠商主要是利用AI提升威脅情報(bào)的自動(dòng)化處理、內(nèi)生情報(bào)識(shí)別和價(jià)值挖掘能力，實(shí)現(xiàn)高效的數(shù)據(jù)收集、分析和情報(bào)生成，以提升對未知威脅的發(fā)現(xiàn)能力。同時(shí)普遍利用NLP技術(shù)和大模型能力，對海量公開的威脅情報(bào)、漏洞信息、事件公告等進(jìn)行自動(dòng)化采集、解析和格式化處理，提升情報(bào)分析效率。例如，將非格式化的漏洞報(bào)告轉(zhuǎn)化為格式化的知識(shí)圖譜，輔助威脅研判。

廠商案例

綠盟科技：風(fēng)云衛(wèi)AI安全能力平臺(tái)支持自主狩獵，可通過SecLLM底座整合情報(bào)數(shù)據(jù)進(jìn)行模型訓(xùn)練，進(jìn)而生成情報(bào)。

默安科技：幻陣作為高級(jí)威脅狩獵與溯源系統(tǒng)，能夠記錄和分析攻擊行為模式，提取有價(jià)值的安全情報(bào)，并優(yōu)化防御策略。

奇安信：AISOC可識(shí)別并提取出尚未被收錄的內(nèi)生情報(bào)（如新型惡意文件、攻擊者IP），并將其加入威脅情報(bào)中心，實(shí)現(xiàn)內(nèi)生安全和自我進(jìn)化。其AI+威脅情報(bào)平臺(tái)集成了全球開源情報(bào)、專業(yè)APT情報(bào)、商業(yè)情報(bào)等多渠道數(shù)據(jù)，提供多維實(shí)體研判結(jié)果輸出、惡意樣本分析、漏洞威脅評(píng)估和安全威脅關(guān)聯(lián)圖譜，并生成預(yù)測型情報(bào)，幫助用戶預(yù)判未來威脅趨勢。

知道創(chuàng)宇：創(chuàng)宇安全智腦作為威脅情報(bào)集中中心，通過大數(shù)據(jù)分析和AI模型，整合海量攻防數(shù)據(jù)、資產(chǎn)測繪數(shù)據(jù)、漏洞情報(bào)等，生成高精準(zhǔn)、高價(jià)值的威脅情報(bào)，并預(yù)測未來趨勢。

5）國內(nèi)大模型和智能體發(fā)展取得顯著進(jìn)展，促進(jìn)自動(dòng)化響應(yīng)從提供建議走向?qū)嶋H執(zhí)行

AI輔助的智能決策與自動(dòng)化響應(yīng)能力在國內(nèi)正加速發(fā)展，目前部分廠家構(gòu)建了智能體底座，將LLM作為智能體的“思考中樞”，利用智能體實(shí)現(xiàn)自主規(guī)劃、工具調(diào)用、自省等能力，提升安全運(yùn)營的自動(dòng)化和智能化水平。LLM輔助的劇本編排已成為自動(dòng)化與響應(yīng)（SOAR）的核心技術(shù)，并通過與現(xiàn)有安全設(shè)備的聯(lián)動(dòng)，能夠自動(dòng)執(zhí)行預(yù)設(shè)的攻防基地，實(shí)現(xiàn)快速地威脅危機(jī)。

同時(shí)安全領(lǐng)域普遍認(rèn)為智能體/多智能體將重塑安全運(yùn)營模式，目標(biāo)是實(shí)現(xiàn)安全事件的分鐘級(jí)閉環(huán)處置，促使國內(nèi)AI賦能的智能決策和自動(dòng)化響應(yīng)方面的發(fā)展從提供建議走向?qū)嶋H執(zhí)行。但目前關(guān)鍵的處置操作仍需人工確認(rèn)，以確保業(yè)務(wù)穩(wěn)定性。

廠商案例

江民科技：赤豹系統(tǒng)具備實(shí)時(shí)監(jiān)測和自動(dòng)隔離受感染設(shè)備并啟動(dòng)應(yīng)急備份系統(tǒng)的能力，將安全事件處置時(shí)效提升80%。

綠盟科技：推出SecLLM和DeepSeek雙基座版本，構(gòu)建了通用智能體（如長上下文處理、文件處理、語音轉(zhuǎn)換等）、工作流智能體（降噪預(yù)判、未知攻擊檢測、自主值守等）和場景化智能體（釣魚郵件、勒索識(shí)別等），并提供AI智能體的工作流編排，智能體中心統(tǒng)一發(fā)布和管理，支持一鍵響應(yīng)和自動(dòng)化處置。

奇安信：自研的QAX-GPT安全大模型和AI機(jī)器人團(tuán)隊(duì)，構(gòu)建了智能體工廠，提供告警研判、關(guān)聯(lián)分析、溯源調(diào)查、響應(yīng)預(yù)案、處置策略、報(bào)告編寫等多個(gè)智能體，實(shí)現(xiàn)自主規(guī)劃、工具調(diào)用和任務(wù)自動(dòng)化執(zhí)行能力，并積極探索多智能體協(xié)同和思維鏈模式，提升推理和模型可控性，可實(shí)現(xiàn)分鐘級(jí)的響應(yīng)閉環(huán)，推動(dòng)安全運(yùn)營從手動(dòng)駕駛邁向自動(dòng)駕駛時(shí)代。

睿安致遠(yuǎn)：MetaSec-AI的自主智能體提供開放式自主多智能體運(yùn)行管理平臺(tái)和低代碼開發(fā)平臺(tái)。自主智能體（MetaSec自主智能體）以LLM為思考中樞，能夠自主或部分自主地進(jìn)行決策并采取行動(dòng)，以完成既定目標(biāo)。包括編排各種安全控制指令、調(diào)用知識(shí)庫、工具集和其他智能體。

衛(wèi)達(dá)信息：通過對網(wǎng)絡(luò)、Web和終端的智能動(dòng)態(tài)變換和虛假節(jié)點(diǎn)構(gòu)建，誘導(dǎo)攻擊者進(jìn)入欺騙環(huán)境，結(jié)合攻擊日志和溯源研判實(shí)現(xiàn)智能封堵，從而縮短攻擊識(shí)別到自動(dòng)阻斷的全流程響應(yīng)時(shí)間，實(shí)現(xiàn)威脅的智能預(yù)測和快速響應(yīng)。

未來智安：基于XDR數(shù)據(jù)湖的AI安全智能體平臺(tái)，提供了智能體平臺(tái)，允許用戶自定義智能體，能根據(jù)威脅分析結(jié)果，自動(dòng)化執(zhí)行安全響應(yīng)和處置措施。

知道創(chuàng)宇：大規(guī)模投入AI相關(guān)產(chǎn)品研發(fā)，包括將大模型理念和第三方開源大模型技術(shù)引入，對百余種AI模型進(jìn)行訓(xùn)練優(yōu)化，推出創(chuàng)宇大安全AI引擎。

6）MCP正被多家廠商關(guān)注并開始內(nèi)部實(shí)踐

MCP作為大模型/智能體與工具之間標(biāo)準(zhǔn)化接口的協(xié)議，MCP概念已被廣泛接受，但其生態(tài)建設(shè)和對外開放仍處于早期階段，正被多家廠商關(guān)注并開始內(nèi)部實(shí)踐構(gòu)建私有MCP市場或接口，以實(shí)現(xiàn)自有產(chǎn)品的互相調(diào)用和互操作性問題。目前對外部提供能力尚待提升，主要原因是廠商生態(tài)較為封閉，廠商之間缺乏互通能力和公認(rèn)的標(biāo)準(zhǔn)。

廠商案例

綠盟科技：正在嘗試開發(fā)MCP平臺(tái)，設(shè)備將自身能力注冊到MCPHub，通過標(biāo)準(zhǔn)化接口實(shí)現(xiàn)設(shè)備間的互操作性，解決傳統(tǒng)設(shè)備集成難的問題。

墨云科技：在自動(dòng)化滲透測試中，通過FunctionCalling和MCP技術(shù)與大模型配合調(diào)用不同功能模塊。計(jì)劃對外提供MCP接口，但目前主要用于內(nèi)部。

奇安信：已開始構(gòu)建安全領(lǐng)域的MCP市場，將MCP視為標(biāo)準(zhǔn)化的API，能讓大模型調(diào)用工具。其部分威脅情報(bào)服務(wù)已封裝為MCP服務(wù)供其他廠商調(diào)用。

睿安致遠(yuǎn)：其低代碼自主智能體開發(fā)平臺(tái)開發(fā)的智能體工具集遵循MCP協(xié)議規(guī)范，能夠?qū)幼陨淼腟ecOpsAPI、知識(shí)圖譜、安全劇本及外部第三方工具和系統(tǒng)。

衛(wèi)達(dá)信息：正在嘗試構(gòu)建VEDA-MCP平臺(tái)，通過模塊化、標(biāo)準(zhǔn)化的VEDA-MCP平臺(tái)實(shí)現(xiàn)對業(yè)務(wù)環(huán)境的感知，以及的IP、網(wǎng)絡(luò)、端口、業(yè)務(wù)、指紋的智能動(dòng)態(tài)變換和誘捕環(huán)境動(dòng)態(tài)變換構(gòu)建，有效識(shí)別和阻斷APT攻擊以及蠕蟲、勒索病毒等無目的性病毒擴(kuò)散行為。

未來智安：具備自研的MCP市場，并強(qiáng)調(diào)其擴(kuò)展性強(qiáng)，可調(diào)用自研或外部工具已集成44個(gè)工具，數(shù)據(jù)兼容性高，擴(kuò)展性強(qiáng)，可適配市面上常見安全產(chǎn)品。