网络安全正站在一次前所未有的隐形危机前。
AI为企业带来了前所未有的效率与创新红利,但与此同时,它也被攻击者大肆利用,制造出规避能力极强、破坏性巨大的零日攻击,轻松绕过传统安全防线,直击企业命脉。Gartner 预测,到2027年,全球约17%的网络攻击和数据泄露事件将涉及生成式AI。
随着技术发展,攻击者可利用AI技术生成网络攻击和网络钓鱼工具,网络安全将从人人对抗、人机对抗逐渐向基于AI的攻防对抗演化。
然而,这场看不见硝烟的攻防战,才刚刚开始。
AI智能中枢系统,网络安全的范式转移
“未来五年内,我们将见证超级AI黑客的诞生。”张福给出了这样的断言,超级AI黑客具备永不疲倦、自我进化、无限并发三大特点。
面对超级AI黑客,人类防御堪称降维打击。更何况当前企业安全建设普遍存在短板,即设备离散难协同、防御体系僵化、精锐安全人才匮乏、重复性工作消耗有限资源等。
或许有人认为,增加安全防护产品的种类就能应对威胁,但我们对AI的认知仍如管中窥豹,远不足应对未来挑战。
整个安全防御体系将迎来三十年来最大变化,唯有Al才能对抗AI,因为过去的产品是给人用的,未来的产品是给Al用的。
业界看来,AI领域的焦点正从大模型转向AI智能体(AI Agent)。Gartner最新预测显示,到2028年,企业软件中自主型AI的渗透率将从2024年的不足1%飙升至33%;同时,超过15%的日常工作决策将由AI智能体自主执行。
大家普遍认为2025年将是“AI智能体元年”,而在安全领域,引入AI智能体仅仅只是起点,更要向着具备自主决策能力的Agentic AI演进,也就是AI安全智能中枢系统(高阶安全智能体)。
“未来企业需要AI安全智能中枢系统高阶安全智能体并且围绕中枢构建新的体系。”张福说道。这一变革将会彻底重塑网络安全的格局,而我们唯一需要做的,就是彻底抓住这个机会。
高阶安全智能体与传统SIEM、SOC有着本质区别,它摒弃了基于规则和特征库的被动防御模式,通过持续学习客户系统行为特征,实现异常活动的自主识别和分级响应。核心优势在于具备自我进化能力,能够持续优化决策模型。几乎可以覆盖所有安全场景:告警研判、威胁响应、漏洞管理、安全运营等全流程。
“无相”不是辅助,而是主动狩猎的安全中枢
目前安全领域可以看到已有诸多企业将AI能力嵌入到原有产品中,比如微软、CrowdStrike等,但这仅仅只是利用AI的恶意代码判断、知识库、告警总结、自然语言查询等多种能力来提升效率。
作为关键信息基础设施安全领域的深耕者,青藤云安全则另辟蹊径,率先发布业内首个实现从Copilot到Autopilot跨越的Agentic AI“无相”。如果AI智能体是“执行者”,那Agentic AI更像是“指挥官”,具备高度自主性、适应性和主动性,能够自主制定战术、灵活应对复杂威胁。
所以相较于微软Security Copilot等辅助型AI,“无相”是具备自主决策、目标驱动和行动能力的高阶安全智能体,通过理解目标、规划步骤并执行操作来实现任务闭环交互,让AI从“被动响应”(如回答问题)进化到“主动代理”(如自主完成任务)。
作为融合机器学习、知识图谱与自动化决策技术的全栈式安全智能体,“无相”能够端到端处理威胁检测、影响评估及响应处置全流程工作,并通过持续的自我反思,最终实现真正意义上的"自动驾驶"级别的智能化安全防护。
在系统架构设计层面,“无相”采用了两大创新性技术方案。首先是采用ReAct框架,该框架基于Act-Observe-Think-Act循环机制,通过实时状态监控与动态规划调整,有效解决了传统安全系统在复杂任务处理中可能因规划错误、工具调用失败导致任务中断(如多步骤流程中的某一步骤 API 返回异常)。
其次是基于Plan AI + Action AI结构,通过多Agent分工协作,形成一个“团队”来进行高效工作;如一个Agent是作为一个分析研判的组织者来进行研判,另一个Agent是作为调查专家来进行工作。从而形成了一个团队既有“任务”的分工,也有“信息共享”的协作,共同高效的完成研判工作。
“无相”正在掀起一场从碎片化到统一平台的架构革命:现代企业平均部署数十种安全工具,彼此割裂,数据孤立,告警散乱,导致威胁无法有效关联与响应。“无相”通过多维数据融合,并在这些看似无关的数据之间建立联系。同时,将安全防护措施转化为代码,无缝集成到DevOps流程中,自动审查配置、生成修复方案,并动态部署防护措施。配合可解释AI,所有告警都有清晰推理依据,解决传统“黑盒子”式安全决策的问题,让运营更透明、响应更高效。
“无相”正在掀起一场从被动防御到主动狩猎的思维转变:过去安全模型遵循"检测→告警→响应",“无相”则采用"预测→狩猎→消灭"模式。防守方被动应对,效率低、代价高。”无相”可以持续自动化地发现和评估企业的数字资产,并自动化地摄取、清洗、关联和应用威胁情报,将其转化为实际的防护措施,基于现有情报进行外推,预测潜在的攻击变种。
无论是管理者(CISO)、高级安全专家,还是一线安全运营人员,都可以基于“无相”完成各自职责的安全管理、威胁分析与应急响应,全面提升企业安全运营能力。
告警太多、溯源太慢、报告太晚,现在统统解决
在AI网络安全威胁日益复杂的当下,“无相”将成为企业安全防御体系中不可或缺的核心力量。其彻底改变了原有安全运营的工作方式,大幅提升响应效率与准确率,广泛应用于三大核心场景:告警研判、溯源分析、安全报告。
告警研判:从人工到智能自动的跨越
安全运营人员每天需要处理大量告警,判断其真实性往往耗费大量精力。以“本地提权”告警为例,“无相”“告警研判”智能体能够自动监听告警信息,基于对“本地提权”的深度理解,自主调用各类工具进行多维度调查。通过分析进程权限、父进程信息、后续进程链以及程序签名等关键指标,智能体最终判定该告警为误报。在实际测试中,“告警研判”智能体已实现100%的告警覆盖率和99.99%的准确率,将人工研判工作量降低95%以上。
当遇到真实威胁时,“告警研判”智能体结合原始告警信息、文件中代码片段的函数特征、以及Web文件的权限信息,综合判断这是一个真实Webshell告警。更重要的是,它能立即启动深度溯源分析,将原本需要跨部门、运用多种工具、查询多种数据的协作,从耗时数天的调查工作转化为自动化任务。
溯源分析:多智能体协同作战
“无相”通过构建多角色智能体团队彻底改变了传统溯源分析,“研判专家”智能体分析Webshell告警基本信息,智能生成调查任务。
每个任务由专门的“安全调查员”智能体负责执行,通过自动调用各类调查工具完成任务。比如当发现Webshell由java进程(12606)写入后,自动将java进程列为新调查对象,并且调查过程会从一个对象延伸开来。
发现疑似横向移动的主机10.108.108.23,通过Web访问日志发现108.23在告警的时间段里大量访问Webshell文件,这样就把108.23列为新的调查对象。
最终,所有调查结果由研判专家智能体进行综合判定,用红色节点标记出确切的威胁对象。
这种抽丝剥茧式调查有极强的泛化能力,将人工需要数天的工作压缩到几十分钟,效果相当于高级的安全溯源专家的水平。
安全报告:从数据到洞察的智能转化
复杂的调查结束后,需要人工整理大量线索,面临信息收集困难、时间压力大、格式规范复杂等挑战。“无相”只需一键即可生成专业报告,更重要的是能像电影一样还原攻击全貌,自动提取关键证据,生成攻击链关键帧,最终输出动态攻击链路图。
“无相”作为企业安全体系的“智能中枢”,能在第一时间感知、应对并解决威胁,为企业创造了一个更具韧性的安全运营体系。
安全分析深度与广度,双碾压人类高级安全专家
青藤的目标非常务实,不做漂亮demo,而是要在真实生产环境中稳定运行。从“无相”项目的持续迭代,到预训练/后训练的改进,再到工程基础设施的完善,张福几乎每周都能看到令人振奋的进展。
与很多AI应用相比,“无相”无论是实用度还是可靠性都实现了突破:动态图规划让任务执行更加灵活;无限制的任务窗口突破了传统AI的桎梏;交付结果大幅超越了人,比高级安全专家做的更好。
特别是在多智能体协作领域,当前学术界的研究虽然火热,但其可靠性远远达不到企业级应用的要求。“无相”展现出了人类无法企及的协作能力,它可以同时指挥数百个智能体小弟分工协作,实现实时的信息共享和任务调整,这种效率是任何人类团队都难以企及的。
然而,"无相"的技术突破仅仅是安全智能化的起点。未来三年,这场变革的深度和广度可能超出大多数人的想象。一方面每个产品中分散的AI安全功能将逐步整合为统一的智能中枢系统;另一方面,AI自主安全决策的覆盖范围将大幅扩展。
这一演进过程中,数据资产与工具链的积累将成为关键竞争壁垒,因为没有这些,再先进的算法也只是空中楼阁。青藤云安全依托过去十年的行业积累,恰恰在这些关键领域建立了难以复制的优势,也为AI安全系统的持续进化提供了坚实基础。
“无相”已至,企业安全正式进入Agentic AI时代。