本文來(lái)自微信公眾號(hào)“科技云報(bào)到”。
通過(guò)一段文字描述,就能生成60秒堪比大片的視頻,來(lái)自大模型Sora的出色表現(xiàn),讓全球都為之震撼。
無(wú)論是ChatGPT還是Sora,都只是大模型走出實(shí)驗(yàn)室的第一步,大模型如何在產(chǎn)業(yè)中落地,為具體的行業(yè)和場(chǎng)景帶來(lái)價(jià)值飛躍,才是業(yè)內(nèi)最關(guān)心的問(wèn)題。
隨著百模大戰(zhàn)如火如荼,大模型向千行百業(yè)垂直領(lǐng)域下沉,安全成為大模型在B端市場(chǎng)落地最具可行性的行業(yè)之一。
全球多家云和安全廠商如:微軟、谷歌、PA、Crowdstrike、奇安信、騰訊安全都推出了自己的安全大模型。
IDC在《大模型在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用市場(chǎng)洞察,2023:破土萌芽,未來(lái)充滿無(wú)限想象》報(bào)告中指出,大模型技術(shù)在安全運(yùn)營(yíng)、威脅情報(bào)、威脅檢測(cè)與分析、應(yīng)用程序安全、數(shù)據(jù)分類(lèi)分級(jí)等應(yīng)用場(chǎng)景初露崢嶸。
隨著大模型技術(shù)的快速發(fā)展,將有更多的網(wǎng)絡(luò)安全工具因?yàn)榇竽P偷募尤霂?lái)能力、效率和可用性等方面的跨越式發(fā)展。
那么,安全大模型能否像Sora一樣,為安全行業(yè)帶來(lái)顛覆性的影響?大模型如何在安全運(yùn)營(yíng)中發(fā)揮作用?又將如何全面走向行業(yè)落地?
安全大模型帶來(lái)
“效率”革命
近年來(lái)AI技術(shù)的快速發(fā)展,使得網(wǎng)絡(luò)安全防護(hù)在分析、檢測(cè)、策略制定等方面有了很大的提升。盡管AI在攻防對(duì)抗中已嶄露頭角,但效果的提升依然緩慢。
“這些年安全行業(yè)要解決的問(wèn)題沒(méi)有本質(zhì)上的變化,無(wú)非是黑客打進(jìn)來(lái),我們要防住。但在防守的環(huán)節(jié)中,對(duì)安全技術(shù)的理解、以及對(duì)安全工具使用的熟練程度,都會(huì)影響防守者的效率。所以,我們一直在思考,這個(gè)過(guò)程中,攻防的效率有沒(méi)有可能出現(xiàn)極大的提升?”騰訊安全副總經(jīng)理董文輝在采訪中談道。
直到AI大模型的出現(xiàn),讓整個(gè)技術(shù)圈都為之震撼——龐大的規(guī)模和深度,使得大模型能夠處理和理解復(fù)雜的文本、圖像、聲音,其性能表現(xiàn)超越了傳統(tǒng)的機(jī)器學(xué)習(xí)模型,同時(shí)還展現(xiàn)出強(qiáng)大的學(xué)習(xí)和泛化能力,仿佛展現(xiàn)了人類(lèi)般的智慧。
“大模型讓安全行業(yè)看到了更多提效的可能性”,董文輝表示。
以騰訊安全為例,2023年底,騰訊安全在混元大模型基礎(chǔ)上,投喂安全知識(shí)語(yǔ)料庫(kù)二次訓(xùn)練出安全行業(yè)大模型,并且基于安全行業(yè)大模型打造了一款騰訊云AI安全助手,覆蓋告警解釋、漏洞修復(fù)、日志處理、智能客服等四大能力。
比如漏洞修復(fù),過(guò)去一旦發(fā)生漏洞安全事件,安全運(yùn)營(yíng)人員不僅要具備豐富的漏洞知識(shí),還需要快速查閱各類(lèi)漏洞通告和資料,去了解最新漏洞的類(lèi)型、影響面以及處置方案,整個(gè)過(guò)程至少需要2-3天、20多次操作。
但是現(xiàn)在有了安全大模型的加持,漏洞修復(fù)可以交給騰訊云AI Copilot來(lái)進(jìn)行輔助,3次對(duì)話、5次操作就能走完從發(fā)現(xiàn)到處置的閉環(huán)。
再比如告警處置,過(guò)去發(fā)生攻擊時(shí),安全運(yùn)營(yíng)人員面對(duì)幾十萬(wàn)乃至上百萬(wàn)的告警,很難判斷到底發(fā)生了什么,以及如何做。
現(xiàn)在通過(guò)騰訊云AI Copilot,安全人員只需要用自然語(yǔ)言對(duì)話,就可以清楚地了解告警發(fā)生了什么,并讓AI Copilot自動(dòng)化處置告警。
同時(shí),AI Copilot還能拓展檢測(cè)和處置的范圍,用人的語(yǔ)言告訴安全人員,是否在其他地方有類(lèi)似的問(wèn)題、還可以做什么來(lái)阻斷風(fēng)險(xiǎn)等。
在事件溯源分析時(shí),AI Copilot可以自動(dòng)化生成報(bào)告,也可以讓安全人員通過(guò)對(duì)話的形式,來(lái)完成日志檢索、資產(chǎn)剖析、安全性評(píng)估、SOAR劇本生成等操作。
例如,“我要查詢近一個(gè)月攻擊過(guò)我某資產(chǎn)的所有攻擊者IP”,而不用像以前一樣通過(guò)手動(dòng)操作來(lái)查詢。
這種安全服務(wù)的自動(dòng)化,讓安全廠商的客戶成功、售后和工單處理效率大幅提升,“(騰訊云安全)從每人服務(wù)5個(gè)客戶提升到了10余人”,騰訊安全副總經(jīng)理龍海表示。
不難發(fā)現(xiàn),在安全防護(hù)的“事前、事中、事后”全生命周期里,大模型都在為安全提速——不僅提升了安全產(chǎn)品的體驗(yàn)和交互效率,也提升了安全廠商服務(wù)的效率。
不僅如此,大模型還在安全能力的提升上有著令人驚嘆的表現(xiàn)。
比如,攻擊者通常會(huì)通過(guò)樣本的快速變種繞過(guò)安全產(chǎn)品的防護(hù),AI Copilot則可以快速生成規(guī)則,提升樣本的檢出率、準(zhǔn)確率,同時(shí)相關(guān)率也在大幅提升。
盡管這種“水下”的安全能力,不能被用戶直接感知,但大模型技術(shù)的加入,的確將安全的水位一次次拉高,為安全能力的提升帶來(lái)了無(wú)限的可能性。
安全大模型更需務(wù)實(shí)
正如風(fēng)靡技術(shù)圈的一句話:“所有行業(yè)都值得用大模型重做一遍”,安全行業(yè)亦是如此。
不過(guò)隨著安全廠商蜂擁而上爭(zhēng)做大模型,其整體表現(xiàn)并沒(méi)有想象中的那么驚艷,部分安全產(chǎn)品僅僅停留在類(lèi)似ChatGPT問(wèn)答對(duì)話框的形式改進(jìn)上,沒(méi)有帶來(lái)跨越式的效果提升。
如何讓大模型在安全運(yùn)營(yíng)中發(fā)揮出革命性的作用,其實(shí)與安全行業(yè)大模型的能力息息相關(guān)。
目前,通用大模型對(duì)于各個(gè)行業(yè)的理解還有局限性,因此各大廠商著力在訓(xùn)練針對(duì)行業(yè)的垂直大模型。
安全行業(yè)大模型就像是安全領(lǐng)域的專(zhuān)家,掌握著更全面的安全知識(shí),具備安全行業(yè)的通識(shí)和常識(shí),以及在安全領(lǐng)域特有問(wèn)題上的邏輯推理能力,能夠更精準(zhǔn)地解決安全領(lǐng)域內(nèi)的問(wèn)題。
為了進(jìn)一步提升安全行業(yè)大模型的效果,在其之上訓(xùn)練安全場(chǎng)景模型也必不可少,從而能夠更好地完成一個(gè)或多個(gè)場(chǎng)景中的任務(wù)。
據(jù)騰訊安全副總經(jīng)理龍海表示,騰訊云的安全行業(yè)大模型,就是在騰訊自研的“混元”通用模型基礎(chǔ)上,投喂安全知識(shí)語(yǔ)料庫(kù)(全部安全數(shù)據(jù)和日志),訓(xùn)練成具備安全知識(shí)的語(yǔ)言模型,通過(guò)3B安全知識(shí)庫(kù)(未來(lái)會(huì)擴(kuò)充至100B)訓(xùn)練了7B和13B安全基礎(chǔ)模型。
同時(shí),騰訊云還訓(xùn)練了多個(gè)安全場(chǎng)景模型,以適配云安全中的多種場(chǎng)景,如:漏洞檢測(cè)和分析,告警研判和處置;威脅情報(bào)研判和生產(chǎn)等。
事實(shí)上,訓(xùn)練大模型是一個(gè)長(zhǎng)期投入并不斷調(diào)優(yōu)的過(guò)程,這種高投入對(duì)廠商的實(shí)力要求很高,同時(shí)也要求廠商務(wù)實(shí)地打磨產(chǎn)品,而不是短期追逐熱點(diǎn)。
一方面,是技術(shù)實(shí)力。
訓(xùn)練安全行業(yè)大模型,既需要通用大模型作為“底座”打基礎(chǔ),也需要行業(yè)數(shù)據(jù)作為“養(yǎng)料”進(jìn)行投喂。
目前業(yè)內(nèi)已有不少開(kāi)源大模型,能夠在短時(shí)間內(nèi)拉低大模型的入場(chǎng)門(mén)檻,但是缺乏大模型的自研能力,廠商就會(huì)受制于開(kāi)源模型本身的效果,在大模型為人所詬病的“幻覺(jué)”、“可解釋性”等方面無(wú)法進(jìn)一步突破。
同時(shí),從GPT的實(shí)驗(yàn)可以看到,隨著模型參數(shù)量的增加,模型性能均得到不同程度的提高,而來(lái)自人類(lèi)反饋的強(qiáng)化學(xué)習(xí)(RLHF)生成的模型效果更好。這表明高質(zhì)量的數(shù)據(jù),是提升大模型效果的關(guān)鍵要素。
以騰訊為例,其通用大模型“混元”擁有超千億參數(shù)規(guī)模,預(yù)訓(xùn)練語(yǔ)料超2萬(wàn)億Tokens。
純自研的“混元”,采用了在預(yù)訓(xùn)練階段優(yōu)化目標(biāo)函數(shù)的“探真”技術(shù)方法,與目前市場(chǎng)上常見(jiàn)的開(kāi)源大模型相比,該方法能有效降低幻覺(jué)30%至50%。
這種能力也同樣體現(xiàn)在騰訊安全行業(yè)大模型上,讓用戶能夠更加信任其給出的安全解決方案。
在效果提升上,騰訊云安全AI Copilot之所以能夠展現(xiàn)出安全效率和能力的質(zhì)的提升,和騰訊云安全行業(yè)大模型可以充分利用自身獨(dú)有的數(shù)據(jù)積累密不可分。
過(guò)去多年來(lái),騰訊安全科恩實(shí)驗(yàn)室、大數(shù)據(jù)實(shí)驗(yàn)室、玄武實(shí)驗(yàn)室等,在安全和AI領(lǐng)域有大量的創(chuàng)新研究成果,擁有業(yè)內(nèi)領(lǐng)先的人工智能技術(shù),積累了獨(dú)有的安全行業(yè)數(shù)據(jù)。在安全和AI領(lǐng)域有大量的創(chuàng)新研究成果,擁有業(yè)內(nèi)領(lǐng)先的人工智能技術(shù),積累了獨(dú)有的安全行業(yè)數(shù)據(jù)。
海量非公開(kāi)的安全領(lǐng)域知識(shí)、專(zhuān)業(yè)經(jīng)驗(yàn),包括安全日志、文檔、知識(shí)庫(kù)、情報(bào)類(lèi)數(shù)據(jù),以及豐富的實(shí)戰(zhàn)攻防和重保經(jīng)驗(yàn)等,對(duì)于調(diào)優(yōu)安全大模型、落地安全場(chǎng)景應(yīng)用,起到了關(guān)鍵作用。
除此之外,云作為大模型背后的底座,為大模型長(zhǎng)期訓(xùn)練提供堅(jiān)實(shí)基礎(chǔ)。
去年4月以來(lái),騰訊云發(fā)布一系列面向大模型訓(xùn)練的基礎(chǔ)設(shè)施,從自研的星星海服務(wù)器,到新一代HCC高性能計(jì)算集群,無(wú)疑都為其訓(xùn)練大模型擴(kuò)充了軍備。
另一方面,是商業(yè)化能力。
安全大模型想要長(zhǎng)期發(fā)展,就必須深入到行業(yè)場(chǎng)景中去驗(yàn)證自己的價(jià)值,并通過(guò)商業(yè)化來(lái)保持正向的發(fā)展。
盡管目前多家廠商已推出安全大模型,但暫時(shí)還沒(méi)有出現(xiàn)比較好的商業(yè)化安全產(chǎn)品,其中很重要的原因在于缺乏閉環(huán)場(chǎng)景的落地驗(yàn)證。
在多云、混合云架構(gòu)逐漸普及的當(dāng)下,企業(yè)內(nèi)部往往涉及多個(gè)部門(mén)和多個(gè)安全工具,安全運(yùn)營(yíng)團(tuán)隊(duì)需要同時(shí)對(duì)接多個(gè)云的安全體系,很難實(shí)現(xiàn)安全協(xié)同,這在一定程度上阻礙了大模型的效果。
騰訊云安全產(chǎn)品負(fù)責(zé)人周荃認(rèn)為,在未來(lái),安全應(yīng)該是一體的、統(tǒng)一的、標(biāo)準(zhǔn)的,這種一體化體現(xiàn)在針對(duì)公有云、混合云、自研云的多云統(tǒng)一管理,以及橫跨生產(chǎn)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)的三位一體防護(hù),即是“全域安全”。
有了“全域一體化”的安全產(chǎn)品,安全大模型才能夠在場(chǎng)景閉環(huán)中更好地發(fā)揮出“質(zhì)”的提升效果,也能進(jìn)一步驗(yàn)證其商業(yè)化路徑,最終走向主流市場(chǎng)。
總的來(lái)說(shuō),基礎(chǔ)大模型+安全數(shù)據(jù)積累+閉環(huán)場(chǎng)景驗(yàn)證,構(gòu)成了安全大模型的核心競(jìng)爭(zhēng)力。
從長(zhǎng)期來(lái)看,大模型的競(jìng)爭(zhēng)肯定會(huì)很激烈,也很容易出現(xiàn)贏家通吃的現(xiàn)象,但保有核心競(jìng)爭(zhēng)力的安全大模型,最終用戶會(huì)用腳投票。
“自動(dòng)駕駛”的安全智能體
業(yè)界常說(shuō),一項(xiàng)新技術(shù)出現(xiàn)后,市場(chǎng)往往高估了它的短期效益,而低估了長(zhǎng)期的影響。
這句話也同樣適用于大模型。目前安全大模型的應(yīng)用,只是安全產(chǎn)業(yè)發(fā)展中的一個(gè)階段,但肯定不會(huì)是最終形態(tài)。
在龍海看來(lái),安全大模型的終局是以大模型的能力重構(gòu)安全產(chǎn)品的交互方式和安全核心能力,進(jìn)入安全的“自動(dòng)駕駛”階段,實(shí)現(xiàn)安全運(yùn)營(yíng)的全自動(dòng)化階段。
龍海將安全大模型的演進(jìn)路徑比喻為自動(dòng)駕駛的三個(gè)階段:
“油轉(zhuǎn)電”階段:大模型天然適合做自然語(yǔ)言交互的輸入和輸出,這部分工作比較明確,對(duì)模型的精確度要求不高,這是現(xiàn)階段安全大模型普遍能達(dá)到的能力。
“輔助駕駛”階段:同步研究安全基礎(chǔ)模型和安全場(chǎng)景模型,選擇一些能力場(chǎng)景輔助原有的安全體系提升安全能力。目前,騰訊云安全力爭(zhēng)在80%的安全產(chǎn)品上都達(dá)到這一能力。
“自動(dòng)駕駛”階段:改造傳統(tǒng)的交互方式和基于規(guī)則、特征和人工運(yùn)營(yíng)的能力模式,進(jìn)入安全的全自動(dòng)駕駛階段。這是安全運(yùn)營(yíng)的理想形態(tài),也是安全大模型無(wú)限逼近的未來(lái)。
在這個(gè)過(guò)程中,安全廠商正在探索從“輔助駕駛”到“自動(dòng)駕駛”的多種可能性,AI Agent就是一個(gè)被業(yè)內(nèi)廣泛認(rèn)可的方向。
騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全研究員唐祺壹表示,如果說(shuō)目前的AI Copilot更多是扮演“安全助手”角色,讓人能夠以自然語(yǔ)言與計(jì)算機(jī)進(jìn)行交互,那么未來(lái)的AI Copilot則是一個(gè)“安全AI Agent(智能體)”,能夠接受復(fù)雜形態(tài)的數(shù)據(jù)輸入,獨(dú)立決策并自主完成復(fù)雜任務(wù),一定程度上取代人的工作。
比如在情報(bào)研判工作中,過(guò)去需要收集多方情報(bào)來(lái)源,結(jié)合各方面信息綜合考慮,并不斷積累經(jīng)驗(yàn),由安全專(zhuān)家參與研判。
但是安全大模型本身有海量的安全知識(shí)儲(chǔ)備,以及“舉一反三”的能力,使得情報(bào)研判“智能體”能夠理解情報(bào)研判人員日常工作所接收到的所有信息,使用情報(bào)研判人員日常工作所使用的所有工具,具備情報(bào)研判人員所具條的知識(shí)和常識(shí),最終正確決策,完成情報(bào)研判任務(wù)。
而在情報(bào)研判過(guò)程中,會(huì)有多個(gè)AI Agent,以自然語(yǔ)言對(duì)話的形式,互相之間不斷對(duì)話。之后,綜合研判Agent會(huì)匯總各子任務(wù)的研判結(jié)論和論據(jù),自主決策形成最終研判結(jié)論,并形成報(bào)告。
整個(gè)過(guò)程就如同安全專(zhuān)家開(kāi)展討論一樣,只是再也不用人類(lèi)坐在桌前了。
結(jié)語(yǔ)
大模型的出現(xiàn),猶如一股強(qiáng)大的變革之力,正在重塑人們對(duì)安全運(yùn)營(yíng)的認(rèn)知和體驗(yàn)。
盡管大模型在安全領(lǐng)域的應(yīng)用還有很長(zhǎng)的路要走,但是它所展示的安全“自動(dòng)駕駛”的未來(lái),讓人無(wú)限向往。到那時(shí),安全將如水電一樣觸手可得。