我们即将见证安全运营史上最大变化。代理AI正在带来新水平的自动威胁检测、分析、调查和响应，而且正在迅速到来。 

到目前为止，大多数SecOps团队都在使用内置在特定安全工具和生态系统中的AI助手。这些助手已经在帮助改进大量的SecOps活动，例如操作威胁情报、整合多个威胁载体的信号、排除误报、总结事件等。这些改进正在提高SecOps的效率和有效性，毕竟速度是最重要的因素，包括在攻击造成破坏之前，威胁检测、调查和响应的速度。 

但除了速度之外，AI正在帮助理解更广泛的攻击范围以及需要采取哪些行动来防止未来攻击。因此，除了改善SecOps的被动功能外，AI功能的应用是改善主动安全功能。 

这些早期结果证明AI将从根本上改变我们今天所知的SecOps。原因如下：作为安全专业人士，我们全部时间都在保护我们的数字基础设施免受攻击者的侵害。在这场“数字激战”中，作为防御者，我们也依靠使用数字工具来保护、检测、调查和相应。但攻击者和防御者态势之间存在重大差异。 

攻击者有足够的时间。他们花时间在侦察上，布置环境以更快地进行恶意活动，操纵毫无戒心的人员交出关键数字信息，以用于进一步攻击目标。 

而作为防御者，这个关键的时间因素受到限制，我们需要让人类参与过滤信号、建立假设以及解构和理解攻击策略和路径。然后，我们必须最终确定什么是真的，什么是最重要的，以及需要采取哪些行动来减轻攻击或威胁。这些活动很耗时，为对手提供了持续的优势，以超越我们。 

尽管这些似乎是无法用机器解决的、以人为本的推理功能，但我们一直在利用确定性的自动化工具来帮助这个过程。然而，攻击者总是能找到阻止这些过程的方法。而AI计算提供了一种新的方法——一种非确定性的方法，能够以人类永远无法实现的速度测试大量的可能性。与过去有限的人工辅助过程相比，这种数量和速度可以在规模上产生更一致和可靠的结论。这可能改变游戏规则。 

进入代理AI时代 

当你了解代理AI的想法时，想想很多用例，我们可以利用AI的力量以全自动的方式工作。这并不意味着这些应用程序在没有人际互动的情况下将完全运行，但它为允许这种新水平的自动化功能打开了大门。当应用程序可以访问基于AI的引擎时，它们可以进行大量的调查行动，以确定风险、影响和遏制行动，以帮助阻止攻击。 

代理AI工具的早期用例侧重于特定的SecOps用例。你可将这些用例视为很好的机会，以让这一新战略发挥作用，并证明其价值。这种方法也有助于我们所有人开始了解这种新兴的早期技术的力量和潜在能力。早期用例包括警报分类、警报验证、误报过滤、网络钓鱼电子邮件调查、漏洞评估等。 

谁将提供代理AI SecOps技术？ 

专门专注于SecOps的早期阶段公司包括Aurascape、Intezer、Prophet Security、DropZone、Simbian、Exaforce、Culminate、Radiant、Seven等，他们正在提供可以与SecOps工具堆栈的其他部分一起使用的交钥匙产品。当然，微软、思科、谷歌、趋势科技和Palo Alto Networks等安全行业巨头也在将代理AI SecOps技术作为现有平台和架构中的集成组件推向市场。 

在这个阶段，大多数人专注于特定的用例。例如，微软3月24日宣布了第一个Security Copilot 代理，强调了5个特定的用例，包括网络钓鱼分类；警报分类；有条件访问身份问题；漏洞修复；以及威胁情报简报/总结。这些代理嵌入到特定的微软产品中，包括Defender、Purview、Entra、Intune和Security Copilot。谷歌最近宣布的代理专注于两个用例，包括警报分类代理和恶意软件分析代理。Tines和Torq等自动化供应商也在迅速将代理AI投入使用，扩展了自动化功能和用例—可嵌入SecOps环境。

自主安全运营中心 

你应该熟悉“自主SOC”术语，因为它很快将无处不在，随着以SecOps为中心的自动化工具配备了新的AI支持功能。早期重点领域将包括警报调查、优先排序、信号丰富、脚本的逆向工程等。AI助手或助理与代理AI之间的最大区别在于，代理AI应用程序和工具可以执行响应操作——这意味着它们可以执行威胁遏制活动、数据丰富活动、阻止恶意IP、响应网络钓鱼电子邮件报告等。 

但像所有基于AI的功能一样，都会有一个突破期，在了解其潜能和建立可信行为方面。早期提供商看到了透明度的必要性，允许安全团队公开监控代理AI流程、序列和决策路径。建立信任将是一段旅程，但进展迅速，相信在几个月内会证明其有效性和准确性。 

由于SecOps的代理AI发展得如此之快，笔者正在启动一个视频博客系列，旨在介绍很多早期的代理AI提供商。这些视频将允许安全团队与AI技术背后的技术远见者见面，同时了解现在可能和未来可能发生的事情。在这些视频中，你将有机会见到很多这些强大的代理解决方案的创始人和有远见的人。 

现在是时候拥抱SecOps的变革了——你以前从未经历过的变革。