科技云报道原创。
通过一段文字描述,就能生成60秒堪比大片的视频,来自大模型Sora的出色表现,让全球都为之震撼。
无论是ChatGPT还是Sora,都只是大模型走出实验室的第一步,大模型如何在产业中落地,为具体的行业和场景带来价值飞跃,才是业内最关心的问题。
随着百模大战如火如荼,大模型向千行百业垂直领域下沉,安全成为大模型在B端市场落地最具可行性的行业之一。
全球多家云和安全厂商如:微软、谷歌、PA、Crowdstrike、奇安信、腾讯安全都推出了自己的安全大模型。
IDC在《大模型在网络安全领域的应用市场洞察,2023:破土萌芽,未来充满无限想象》报告中指出,大模型技术在安全运营、威胁情报、威胁检测与分析、应用程序安全、数据分类分级等应用场景初露峥嵘。
随着大模型技术的快速发展,将有更多的网络安全工具因为大模型的加入带来能力、效率和可用性等方面的跨越式发展。
那么,安全大模型能否像Sora一样,为安全行业带来颠覆性的影响?大模型如何在安全运营中发挥作用?又将如何全面走向行业落地?
安全大模型带来 “效率”革命
近年来AI技术的快速发展,使得网络安全防护在分析、检测、策略制定等方面有了很大的提升。尽管AI在攻防对抗中已崭露头角,但效果的提升依然缓慢。
“这些年安全行业要解决的问题没有本质上的变化,无非是黑客打进来,我们要防住。但在防守的环节中,对安全技术的理解、以及对安全工具使用的熟练程度,都会影响防守者的效率。所以,我们一直在思考,这个过程中,攻防的效率有没有可能出现极大的提升?”腾讯安全副总经理董文辉在采访中谈道。
直到AI大模型的出现,让整个技术圈都为之震撼——庞大的规模和深度,使得大模型能够处理和理解复杂的文本、图像、声音,其性能表现超越了传统的机器学习模型,同时还展现出强大的学习和泛化能力,仿佛展现了人类般的智慧。
“大模型让安全行业看到了更多提效的可能性”,董文辉表示。
以腾讯安全为例,2023年底,腾讯安全在混元大模型基础上,投喂安全知识语料库二次训练出安全行业大模型,并且基于安全行业大模型打造了一款腾讯云AI安全助手,覆盖告警解释、漏洞修复、日志处理、智能客服等四大能力。
比如漏洞修复,过去一旦发生漏洞安全事件,安全运营人员不仅要具备丰富的漏洞知识,还需要快速查阅各类漏洞通告和资料,去了解最新漏洞的类型、影响面以及处置方案,整个过程至少需要2-3天、20多次操作。
但是现在有了安全大模型的加持,漏洞修复可以交给腾讯云AI Copilot来进行辅助,3次对话、5次操作就能走完从发现到处置的闭环。
再比如告警处置,过去发生攻击时,安全运营人员面对几十万乃至上百万的告警,很难判断到底发生了什么,以及如何做。
现在通过腾讯云AI Copilot,安全人员只需要用自然语言对话,就可以清楚地了解告警发生了什么,并让AI Copilot自动化处置告警。
同时,AI Copilot还能拓展检测和处置的范围,用人的语言告诉安全人员,是否在其他地方有类似的问题、还可以做什么来阻断风险等。
在事件溯源分析时,AI Copilot可以自动化生成报告,也可以让安全人员通过对话的形式,来完成日志检索、资产剖析、安全性评估、SOAR剧本生成等操作。
例如,“我要查询近一个月攻击过我某资产的所有攻击者IP”,而不用像以前一样通过手动操作来查询。
这种安全服务的自动化,让安全厂商的客户成功、售后和工单处理效率大幅提升,“(腾讯云安全)从每人服务5个客户提升到了10余人”,腾讯安全副总经理龙海表示。
不难发现,在安全防护的“事前、事中、事后”全生命周期里,大模型都在为安全提速——不仅提升了安全产品的体验和交互效率,也提升了安全厂商服务的效率。
不仅如此,大模型还在安全能力的提升上有着令人惊叹的表现。
比如,攻击者通常会通过样本的快速变种绕过安全产品的防护,AI Copilot则可以快速生成规则,提升样本的检出率、准确率,同时相关率也在大幅提升。
尽管这种“水下”的安全能力,不能被用户直接感知,但大模型技术的加入,的确将安全的水位一次次拉高,为安全能力的提升带来了无限的可能性。
安全大模型更需务实
正如风靡技术圈的一句话:“所有行业都值得用大模型重做一遍”,安全行业亦是如此。不过随着安全厂商蜂拥而上争做大模型,其整体表现并没有想象中的那么惊艳,部分安全产品仅仅停留在类似ChatGPT问答对话框的形式改进上,没有带来跨越式的效果提升。
如何让大模型在安全运营中发挥出革命性的作用,其实与安全行业大模型的能力息息相关。
目前,通用大模型对于各个行业的理解还有局限性,因此各大厂商着力在训练针对行业的垂直大模型。
安全行业大模型就像是安全领域的专家,掌握着更全面的安全知识,具备安全行业的通识和常识,以及在安全领域特有问题上的逻辑推理能力,能够更精准地解决安全领域内的问题。
为了进一步提升安全行业大模型的效果,在其之上训练安全场景模型也必不可少,从而能够更好地完成一个或多个场景中的任务。
据腾讯安全副总经理龙海表示,腾讯云的安全行业大模型,就是在腾讯自研的“混元”通用模型基础上,投喂安全知识语料库(全部安全数据和日志),训练成具备安全知识的语言模型,通过3B安全知识库(未来会扩充至100B)训练了7B和13B安全基础模型。
同时,腾讯云还训练了多个安全场景模型,以适配云安全中的多种场景,如:漏洞检测和分析,告警研判和处置;威胁情报研判和生产等。
事实上,训练大模型是一个长期投入并不断调优的过程,这种高投入对厂商的实力要求很高,同时也要求厂商务实地打磨产品,而不是短期追逐热点。
一方面,是技术实力。
训练安全行业大模型,既需要通用大模型作为“底座”打基础,也需要行业数据作为“养料”进行投喂。
目前业内已有不少开源大模型,能够在短时间内拉低大模型的入场门槛,但是缺乏大模型的自研能力,厂商就会受制于开源模型本身的效果,在大模型为人所诟病的“幻觉”、“可解释性”等方面无法进一步突破。
同时,从GPT的实验可以看到,随着模型参数量的增加,模型性能均得到不同程度的提高,而来自人类反馈的强化学习(RLHF)生成的模型效果更好。这表明高质量的数据,是提升大模型效果的关键要素。
以腾讯为例,其通用大模型“混元”拥有超千亿参数规模,预训练语料超2万亿Tokens。
纯自研的“混元”,采用了在预训练阶段优化目标函数的“探真”技术方法,与目前市场上常见的开源大模型相比,该方法能有效降低幻觉30%至50%。
这种能力也同样体现在腾讯安全行业大模型上,让用户能够更加信任其给出的安全解决方案。
在效果提升上,腾讯云安全AI Copilot之所以能够展现出安全效率和能力的质的提升,和腾讯云安全行业大模型可以充分利用自身独有的数据积累密不可分。
过去多年来,腾讯安全科恩实验室、大数据实验室、玄武实验室等,在安全和AI领域有大量的创新研究成果,拥有业内领先的人工智能技术,积累了独有的安全行业数据。在安全和AI领域有大量的创新研究成果,拥有业内领先的人工智能技术,积累了独有的安全行业数据。
海量非公开的安全领域知识、专业经验,包括安全日志、文档、知识库、情报类数据,以及丰富的实战攻防和重保经验等,对于调优安全大模型、落地安全场景应用,起到了关键作用。
除此之外,云作为大模型背后的底座,为大模型长期训练提供坚实基础。
去年4月以来,腾讯云发布一系列面向大模型训练的基础设施,从自研的星星海服务器,到新一代HCC高性能计算集群,无疑都为其训练大模型扩充了军备。
另一方面,是商业化能力。
安全大模型想要长期发展,就必须深入到行业场景中去验证自己的价值,并通过商业化来保持正向的发展。
尽管目前多家厂商已推出安全大模型,但暂时还没有出现比较好的商业化安全产品,其中很重要的原因在于缺乏闭环场景的落地验证。
在多云、混合云架构逐渐普及的当下,企业内部往往涉及多个部门和多个安全工具,安全运营团队需要同时对接多个云的安全体系,很难实现安全协同,这在一定程度上阻碍了大模型的效果。
腾讯云安全产品负责人周荃认为,在未来,安全应该是一体的、统一的、标准的,这种一体化体现在针对公有云、混合云、自研云的多云统一管理,以及横跨生产网、办公网、互联网的三位一体防护,即是“全域安全”。
有了“全域一体化”的安全产品,安全大模型才能够在场景闭环中更好地发挥出“质”的提升效果,也能进一步验证其商业化路径,最终走向主流市场。
总的来说,基础大模型+安全数据积累+闭环场景验证,构成了安全大模型的核心竞争力。
从长期来看,大模型的竞争肯定会很激烈,也很容易出现赢家通吃的现象,但保有核心竞争力的安全大模型,最终用户会用脚投票。
“自动驾驶”的安全智能体
业界常说,一项新技术出现后,市场往往高估了它的短期效益,而低估了长期的影响。这句话也同样适用于大模型。目前安全大模型的应用,只是安全产业发展中的一个阶段,但肯定不会是最终形态。
在龙海看来,安全大模型的终局是以大模型的能力重构安全产品的交互方式和安全核心能力,进入安全的“自动驾驶”阶段,实现安全运营的全自动化阶段。
龙海将安全大模型的演进路径比喻为自动驾驶的三个阶段:
“油转电”阶段:大模型天然适合做自然语言交互的输入和输出,这部分工作比较明确,对模型的精确度要求不高,这是现阶段安全大模型普遍能达到的能力。
“辅助驾驶”阶段:同步研究安全基础模型和安全场景模型,选择一些能力场景辅助原有的安全体系提升安全能力。目前,腾讯云安全力争在80%的安全产品上都达到这一能力。
“自动驾驶”阶段:改造传统的交互方式和基于规则、特征和人工运营的能力模式,进入安全的全自动驾驶阶段。这是安全运营的理想形态,也是安全大模型无限逼近的未来。
在这个过程中,安全厂商正在探索从“辅助驾驶”到“自动驾驶”的多种可能性,AI Agent就是一个被业内广泛认可的方向。
腾讯安全科恩实验室高级安全研究员唐祺壹表示,如果说目前的AI Copilot更多是扮演“安全助手”角色,让人能够以自然语言与计算机进行交互,那么未来的AI Copilot则是一个“安全AI Agent(智能体)”,能够接受复杂形态的数据输入,独立决策并自主完成复杂任务,一定程度上取代人的工作。
比如在情报研判工作中,过去需要收集多方情报来源,结合各方面信息综合考虑,并不断积累经验,由安全专家参与研判。
但是安全大模型本身有海量的安全知识储备,以及“举一反三”的能力,使得情报研判“智能体”能够理解情报研判人员日常工作所接收到的所有信息,使用情报研判人员日常工作所使用的所有工具,具备情报研判人员所具条的知识和常识,最终正确决策,完成情报研判任务。
而在情报研判过程中,会有多个AI Agent,以自然语言对话的形式,互相之间不断对话。之后,综合研判Agent会汇总各子任务的研判结论和论据,自主决策形成最终研判结论,并形成报告。
整个过程就如同安全专家开展讨论一样,只是再也不用人类坐在桌前了。
结语
大模型的出现,犹如一股强大的变革之力,正在重塑人们对安全运营的认知和体验。尽管大模型在安全领域的应用还有很长的路要走,但是它所展示的安全“自动驾驶”的未来,让人无限向往。到那时,安全将如水电一样触手可得。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
