构建面向未来的AI+安全架构化繁为简AI安全平台理念及前瞻性洞见某著名企业科技

构建面向未来的AI+安全架构化繁为简，AI安全平台理念及前瞻性洞见AI赋能安全的机遇与挑战面向未来的安全架构洞察AI安全平台合作落地路径AI赋能安全的机遇与挑战GenAI技术向普惠应用发展人工智能领域的智能和推理水平不断提升，Transformer为后续大模型提供了基础架构，ChatGPT通过预训练和微调实现了自然语言处理的突破，而DeepSeek则通过技术创新和开源策略推动了普惠AI的发展。特点：开源、单模态2017年，Vaswani等人提出的Transformer模型完全摒弃了传统的循环神经网络（RNN）和卷积神经网络N），仅通过注意力机制实现端到端的序列建模。特点：推理模型，慢思考，开源，低成本/免费2025年1月，DeepSeekR1发布，结合强化学习（RL）和混合专家模型（MoE）等技术，显著降低了训练成本并提升了推理性能。模型通过强化学习实现了跨任务的泛化能力，其推理性能接近OpenAI的o1mini版本;AI2.0时代，在基模型+人工反馈强化学习加持下，人工智能应用开发进入“规模化”阶段,体现出“大力出奇迹”；特点：知识模型，快思考，闭源，付费2018-2024年，OpenAI发布模型参数规模的指数级增长，ChatGPT是继数据库和搜索引擎之后的

全新一代的“知识表示和调用方式”。TransformerChatGPTDeepSeekR124年9月，OpenAI推出o1推理模型，闭源，每月200美元GenAI为网络安全带来全新机遇和想象空间漏洞挖掘文档管理代码审计数据资产识别梳理权限治理规则编排行业百科事件聚合分析决策漏洞修补情报检索根因挖掘模拟攻防访问控制和管理安全语言/语义理解海量安全知识嵌入与检索安全业务内容生成任务规划与工具使用大模型能力迁移迁移迁移迁移……数据安全大模型代码开发安全大模型身份安全大模型解决解决解决解决威胁检测大模型安全运营大模型解决访问基线受综合因素影响波动环境逻辑推理长上下文关联主体身份难以统一数据特征难识别，分类分级准确率低语义理解、检索交互式强化学习场景数据行为多样化，难以识别异常逻辑漏洞难以识别，漏洞识别准确率低代码和语义理解代码和语义生成修复建议、补全代码生成解决模型能力产品化从大模型“涌现”能力的基本特性出发：①超强的语言/语义理解能力；②海量知识嵌入和检索能力；③文本生成和推理能力；④任务规划与工具使用。找到“安全场景”与“文本语义”、“工具智能”的契合点，重塑各领域安全应用。GenAI已经在部分安全领域，取得显著效果告警研判精准率：95%误报纠偏准确率：99%2

人+安全运营大模型

≈

25

人+传统安全运营平台安全运营大模型检测精准率：96.6%高对抗攻击检出率：95%40

起

0-Day攻击利用独报Web威胁检测大模型检测精准率：98%独报钓鱼邮件：2400封252

个定向钓鱼攻击检出钓鱼威胁检测大模型XDRSIPSTAEDRCWPPMail………………“安全+AI”

其实也并不容易，绝大部分厂商在实战中未让用户看到真正大幅提升的效果。ChatBot大模型利用自然语言对话，解读攻击，排查检索问答机器人阶段一专家为主，AI为辅赋能细分领域、环节（如安全运营的告警研判、钓鱼检测环节，数据安全的数据资产识别环节等）做出“击穿式”效果，具备广泛的攻防实践赋能单点技术阶段二AI为主，专家为辅AI承担日常运营值守、业务上线检查、钓鱼邮件演练等完整工作流厂商开箱即用+面向工作流个性化构建从点到线，闭环安全业务流阶段三在人类的监督下AGI具备决策及协同能力95%以上安全工作，AI自主闭环智能体/模型高度协同，AI独立规划和决策安全人员负责监督全面覆盖，构建网络安全的AGI阶段四从技术探索回归大模型的商业价值实现75%的受访企业表示“降本增效”是企业应用AIGC的首要目的数据来源：红杉中国2023年CIO调研问卷75%降低成本，提升效率36某省市场反应速度34%产品差异化创新需求单点场景及关键节点“质”与“量”的双重飞跃重新整合流程与AIGC单点能力，形成新的工作流程提供规模化、智能化的整体解决方案点线面面向未来，GenAI必将深刻改变网络安全工作AI赋能安全看起来很美好，但应该如何在实际环境中有效建设和落地？挑战多个安全模型烟囱式建设，重复投资和对接数据需要灵活适配底层算力，包括国产化算力生长如何快速起步，降低团队的AI门槛大模型加入后，现有的人员分工如何科学配置？灵活适配未来不断涌现的更强大模型大模型如何能懂业务、懂场景、懂客户生长组织开放但在AI+安全的落地中，仍将面临诸多挑战同时用户的安全投资也要逐步左移NDREDRXDRUEM蜜罐沙箱IDS沙箱SIEMSOCIDSIPSWAFEPPAV影子资产集权系统暴露面潜在攻击路径漏洞管理风险治理身份管理权限管理事后：重投资，但结果并不好（HW被打穿、被通报、数据库窃取）事前：风险治理薄弱，投资不足用户过往大量的投资在安全事后，但效果仍然不好，未来投资要逐步左移面向未来的安全架构洞察威胁检测响应DR暴露风险识别

I拦截威胁

P减少暴露P身份威胁检测响应DR数据风险识别

I保护数据

P控制访问

P

威胁对抗可信访问安全检测响应和识别能力的GenAI的加持下，效率和效果会在得到成倍的提升，企业能在更短时间内处理更多数据，应对更多风险。同时GenAI也在深远影响安全运营范式，基于多元化安全智能体将逐步改变传统安全运营架构，安全专家与工具协同方式也将大幅重构。各类安全组件也将更多的面向AI智能体开放，标准化的工具调度方式将大幅缩短安全策略的响应速度，加速安全问题的闭环。广泛多层级的安全控制组件将在简化复杂度的目标下持续整合，同时部分实时性较高的模型将原生于安全组件中，强化控制的精准性。GenAI将加速推动安全IPDR的循环迭代——《2024年北美安全峰会技术趋势》‌（Gartner,2024）计算资源

传统安全应用支撑安全运维、安全运营等业务的传统安全应用，用于统一运维管理安全组件，开展识别、监测与响应等工作。传统面向人类的工具场景化大模型/智能体面向细分领域和环节，具备感知安全环境，数据存储和一定的行为能力，有一定的自主性。相比传统安全应用和工具，大幅提升安全效果，具备智能化交互体验。智算资源

智能体自主开展工作，人类监督智算资源

智能体决策与协同通过多模型/智能体协同，能够调用复杂工具，多轮交互，自主闭环完整的安全工作流。极大提升安全工作效率，释放安全人员精力。协同组合方式可面向业务流灵活编排定义。以大模型为大脑的工具GenAI赋能传统安全应用，向多模型/智能体协同演进趋势1:安全运营向AI范式转变，多元化安全智能体推进运营架构的模式转变威胁检测响应智能体（模型、工具与数据编排）工具集响应控制工具RAG企业安全规范与知识库安全模型B威胁检测模型RAG威胁情报查询数据标准化/大模型Prompt工具调用趋势2:安全组件加速整合，形成越来越多标准化接口融入至安全智能体工作流传统分散碎片化的安全控制组件整合度与接口标准化更高的安全组件传统安全运营架构（平台间相互协同）SOAR平台安全编排与自动化响应TI平台威胁情报查询资产安全平台资产风险监测响应态势感知/SIEM平台安全告警关联聚合安全时间研判分析安全数据采集/数据标准化响应策略下发威胁检测响应智能体（模型、工具与数据编排）安全模型ATH威胁狩猎模型RAG企业安全规范与知识库工具集响应控制工具安全模型C安全事件研判模型安全模型B威胁检测模型RAG威胁情报查询数据标准化/大模型Prompt工具调用漏洞管理组件终端防护组件网络控制组件主机安全组件应用防护组件ASM安全监测组件UES终端安全组件SSE安全服务边缘组件APP云安全组件资产管理组件终端管理组件网络防护组件容器安全组件云配置安全组件依赖专家与规则自动化GenAI推动安全飞轮效应转变过去未来GenAI将加速网络和数据安全的“飞轮效应”大模型传统的安全应用AI赋能的安全应用XDR安全运营平台安全运营模型自定义安全智能体业务行为异常监测企业员工安全助手HW值守报告助手……标准化安全AI原生应用AI原生上线安全监测AI原生安全巡检AI原生邮件外发检测……标准化安全AI原生应用AI原生扩展检测响应AI原生身份监测响应AI原生数据风险监测……多智能体协同调度趋势3：单体安全应用与安全AI原生应用还会存长期共存，但会被安全AI原生应用不断挤压和替换。安全AI原生应用大模型构建/运营/监督智能体使用AI赋能的工具使用传统工具智能体智能体协同趋势4:安全人员职能转变：从AI辅助安全人员→到安全人员构建运营和监督AI智能体工作。用户界面更多暴露智能体的管理界面，包括按需构建客制化的智能体，管理智能体运营，监督安能体的工作，同时在个别情况下还会继续支撑人的临时接管。使用经过大模型赋能的安全工具应用，用户界面主要是工具，模型能力多数情况隐藏在工作之后。围绕安全工具的使用开展日常安全运营活动。个别情况接管“GenAI原生”的安全技术架构展望-1NDR流量检测工具流量检测模型DSP数据安全平台数据风险模型安全准入产品安全管控产品安全审计产品传统的安全应用AI赋能的安全应用传统安全应用SOC态势感知平台NDR检测响应平台…平台计算与数据底座安全大模型安全研判模型Web监测模型…大模型智算底座传统安全应用SIEM安全管理平台NDR威胁感知平台…平台计算与数据底座统一安全数据底座自定义安全智能体业务行为异常监测企业员工安全助手……标准化安全AI原生应用AI原生上线安全监测AI原生安全巡检AI原生邮件外发检测……标准化安全AI原生应用AI原生扩展检测响应AI原生身份监测响应AI原生数据风险监测……计算与智算融合底座安全智能体开发底座多智能体协同调度模型承载数据共享广泛分布的安全控制组件安全组件安全组件安全组件小参数量模型嵌入安全组件小参数量模型嵌入安全组件小参数量模型嵌入安全组件大模型调度提供从Agent构建到AIworkflow编排、RAG检索、模型微调、模型管理等能力，轻松构建和安全AI原生应用。趋势6:越来越多安全组件通过嵌入小参数量模型实现原生化，但复杂智算需调度AI平台完成计算。智能体工具调度数据归集数据归集趋势5:计算与智算资源趋于融合发展，统一安全数据支撑多元化安全AI原生应用安全AI原生应用平台“GenAI原生”的安全技术架构展望-2业场景SOC高级服务SaaS服务管理协同运营平台层控制层人员流程智能体高级服务SaaS服务管理协同运营人员流程AI安全平台SOC安全运营智能体防钓鱼智能体数据安全智能体底座层检测类数据身份类数据权限类数据资产类数据数据层Future安全体系规则层日志层网络日志终端日志安全告警安全事件检测类规则白名单规则告警筛选规则终端类杀毒桌管网络类FWIPS检测类NDREDR资产类IMSDP控制层终端类杀毒桌管网络类FWIPS检测类NDREDR资产类IMSDPNOW安全体系……………………运营层控制层…………GenAI原生的安全技术架构某著名企业AI安全平台整体架构底座层安全数据底座安全数据治理安全模型底座模型高效推理框架智能体构建框架算力和网络基础设施网络硬件基础设施防火墙、DDoS、WAF、路由交换、应用负载等算力基础设施模型层流量检测大模型安全运营大模型钓鱼检测大模型数据安全大模型零信任大模型以攻促防大模型生产网安全大模型应用层业务安全大模型……研判值守AI应用终端安全AI应用威胁检测AI应用数据安全AI应用零信任AI应用…员工安全助手智能体工单审核智能体攻防有效性验证智能体…安全运营管理平台身份组件日志组件检测组件......资产组件某著名企业AI安全平台多模态交互值守研判已有安全体系业务大模型和AI应用AI和应用体系对接融合接入采集对接融合业务语料场景安全语料业务基座模型开源基座模型…对接挂载安全基座模型原生融合构建智能体应用微调/RAG推理承载模型训练框架智能体构建框架安全数据接入模型效果标注和调优安全模型/智能体共创多模态交互安全部门看到漏洞/入侵，需要和业务部门排查沟通，跟进工单，耗费大量精力占用（安全人员三分之一的精力）钓鱼邮件演练效果很好，但难以覆盖到公司每个人，如中招人员比较多，涉及的沟通确认和安全意识培训的工作量巨大。过去UEBA在安全领域的落地效果一直差，关键在于出现异常后，必须和出现异常的终端用户沟通确认，工作量巨大场景智能体实践：面向集团的安全助手运营GPTR1-分类和规划告警确认任务安全智能助手portal安全智能助手portalR1-判断是否完成了确认运营GPT待确认告警依次推送待确认问题依次推送待确认问题确认、反馈，可进一步沟通提问确认、反馈安全人员按需介入确认、反馈业务场景落地价值极大释放安全人员精力，代替安全人员与普通员工、IT人员进行日常沟通确认，是真正把安全智能化往前推一大步的核心环节。直接提升事件处置、告警研判、安全意识替身、ueba检测等安全工作的闭环效果，帮助安全人员把工作做得更好。凸显安全团队价值，让普通员工高频感知到安全团队的工作，普通员工也可进行管理制度、安全常识问答。业务场景落地价值8点半启动巡检任务自动巡检报告事件分析，自动导入查询语法告警分析总结汇报封堵提报总结汇报每天早上9点到达客户现场巡检：告警/流量/剧本积压/漏扫接入/时延是否正常事件分析告警分析封堵提报日报到岗即查看巡检报告，大幅节约琐碎的巡检时间语法自动通过智能体查询，异常告警输出报告封堵自动提报场景智能体实践：HW值守安全机器人RAG本地数据检索用户提示词（含有注入攻击）诱导生成违规有害内容回复包含权限外敏感数据……诱导模型执行/调用恶意代码诱导耗尽算力资源企业部署开源大模型，支撑各类型业务应用业务应用和大模型缺乏对提示词注入攻击检测识别能力，被恶意用户利用造成业务模型生成违规有害内容，生成内容包含用户权限外的敏感信息，甚至诱导模型执行恶意代码等高危操作用户提示词+系统提示词（含有注入攻击）场景智能体实践：大模型推理安全智能体业务场景输入提示词注入工具插件大模型越狱工具插件DeepSeek-R1输出问题重写数据知识检索《敏感数据字段定义》《集团合同文档案例》问题重写合规检查知识检索《xx集团大模型使用安全规范》《生成式人工智能安全基本要求》文本处理大模型推理安全智能体对外访问url：API接口示例：……AI安全平台中构建agent，对外发布服务访问url和API用户AI应用中构造hook点集成API，将送给业务大模型的提示词，送入agent检测检测正常，将提示词送入业务大模型；检测异常，拦截并提示业务大模型生成内容也可进行检测和拦截用户可针对提示词注入、大模型越狱、数据、合规检查等，自定义敏感字段DeepSeek-R1对检测节点结果进行综合判断，生成研判结论，可通过提示词控制R1给出的结论内容、格式用户提示词（含有注入攻击）用户提示词+系统提示词，送入agent检测检测结论返回应用，放通或拦截场景智能体实践：大模型推理安全智能体落地价值落地价值面向不同场景、时间（日常值守、HW、两高一弱等）需编写大量不同的安全报告。用户希望针对每一类场景，构建一个报告生成智能体，既完成众多环节的排查，又能组合各次生成的内容，润色生成需要的报告。R1-70B用户输入：输出3月第一全值守报告系统提示词：XXXXXXXXXXXXXXXXXX辅助运营gpt辅助运营gpt辅助运营gpt…文本拼接处理R1-70B系统提示词：XXXXXXXXXXXXXXXXXX输出运营值守报告撰写智能体“两高一弱”检查和报告撰写智能体高危漏洞排查和报告撰写智能体合规检查和报告撰写智能体场景智能体实践：安全报告生成智能体落地价值1、提供客户可以自定义编排的环境，面向不同场景，快速构建出生成不同内容和格式的报告。2、直接降低写报告重复工作。未来已来，AI全面重塑安全产业安全分析报告安全智能客服网络安全智能监控智能渗透自动化溯源反制自动化处置对话沟通能力智能问答文法改错润色真人感对话报告生成语义理解网络安全技术和产业将被大模型重塑，构成一个以大模型底座驱动的安全应用和服务生态大模型底座平台安全协同与决策指挥Payload抽取关联分析日志解析高级威胁分析能力生成防护规则修复建议封禁IP知识挖掘响应处置能力开放且多元化安全智能体安全运营智能体服务接口Agent设计提示工程数据安全智能体防钓鱼智能体参数调优AI安全平台合作落地路径AI安全平台建设落地：分阶段建议安全大模型系统基础框架构建AI安全平台底最小化底座搭建，包括数据底座、大模型底座数据对接规范设计与治理工作模型/平台在/组件数据规范设计对齐模型/平台/组件南北向数据接口和对接流程打通（如模型生成结果集成、SOAR对接、工单流程对接等）第一批开箱即用的模型上线优先选择高价值场景，以及已有一定实践效果的模型上线安全运营大模型Web威胁检测大模型钓鱼威胁检测大模型第一阶段：AI赋能安全场景模型效果调优优化通过持续的数据飞轮运营（比如模型升级、客制化规范导入、误报告警标注等），不断完善和调整模型固有知识和输出，引导模型更加贴合业务安全AI-PaaS客制化创新通过RAG扩展安全大模型专业领域知识用户根据场景定义Workflow，基于AI安全平台开发框架，构建客制化的安全智能体应用深化AI+安全场景应用数据访问风险大模型权限与行为风险大模型“AI”红队持续提升安全水平安全业务AI化改造构建以AI安全平台为核心的安全架构安全应用与安全智能体并进行相互融合，构建以面向安全智能体运行为主体的“智能化”安全AI原生应用安全AI-PaaS客制化创新深化基于安全AI平台开发更多安全智能体通过行业安全语料生产、微调来构建行业安全大模型大模型保护大模型可通过标准API接口，将AI安全智能体及大模型以MaaS的模式对外进行能力供给基于专业的安全大模型为业务大模型提供安全保护能力第二阶段：AI融合安全业务第三阶段：AI重塑安全架构合作展望：多元合作方式助力共赢行业赋能与业务场景保护业务场景安全智能体构建通过RAG、微调来构建行业安全大模型，比如基于用户工控物联网的有监督数据集和安全基础大模型，微调出客制化的工控物联网安全威胁检测大模型。预期交付成果行业AI安全平台搭建、模型交付行业私有安全语料库和安全知识行业安全大模型RAG、微调工具集专利、软著、论文、奖项、联合宣传联合发布行业安全大模型安全运营提质增效Web威胁检测钓鱼威胁检测数据访问风险检测AI+标准化安全场景化落地AI+安全技术科研与创新安全智能体-检测、运营、数据安全、客制化智能体等RAG+Prompt工程，微调AI+安全标准规范与人才培养AI安全平台搭建、模型交付软著、论文、专利、奖项、创新课题申报开展国家级/行业AI网络安全技术标准/规范研究AI安全岗位人才储备与人才培养影响力打造与商业化联合推广AI+安全科研课题/联合创新实验室让每个用户的数字化更简单、更安全MakeYourDigitalTransformationSimplerandSecureAI安全平台建设落地形态与内容AI安全平台平台/模块交付形态安全应用集群安全模型层安全运营大模型模型订阅Web威胁检测大模型模型订阅钓鱼威胁检测大模型模型订阅数据访问风险大模型模型订阅客制化安全模型...模型订阅AI训练服务RAG、安全智能体构建、微调服务服务底座层安全大模型底座软件授权算力基础设施层GPU资源池硬件安全大模型集群安全应用层XDR软件授权流量检测软件授权数据安全平台DSP软件授权零信任ZTP软件授权客制化安全应用...软件授权底座层安全数据湖底座软件授权算力基础设施层CPU资源池硬件软硬一体化交付|纯软件交付GPU裸金属服务器+

某著名企业安全模型底座软件CPU裸金属服务器+

某著名企业安全数据底座软件通过标准通道（如Kafka）发送所需数据1）告警信息告警名称、告警描述、攻击状态、告警等级、告警分类、检测引擎、……3）网侧安全日志源目IP、源目端口、协议、请求头、请求体、请求方法、响应头、响应体、URL/URI、病毒名称、文件路径、文件MD5、……4）端侧安全日志进程信息、网络活动、文件系统活动、注册表信息、内存活动、命令行执行、外部连接、病毒名称、文件路径、文件MD5、……AI安全平台建设落地内容示例1：安全运营专家模型SOC平台大模型数据底座（接入/治理/分发）威胁运营专家模型向量数据库治理后的网端云安全数据工具调用基于RAG引入外部知识，如误报标注、政策管理制度等告警研判事件研判处置决策运营报表对话响应反馈指导模型持续学习业务特征，降低误报漏报上传政策要求、管理制度、资产信息等客制化知识网侧安全数据端侧安全数据资产相关数据威胁情报数据……编解码工具代码解释器威胁情报命令执行器……API/SOAR注：若SOC平台未接收网侧或端侧原始日志，大模型系统也可以与网侧探针和端侧代理直接对接，采集所需数据可商用商用验证中研究中高混淆、高对抗威胁检测误报削减与海量告警融合全量告警自动研判解读N+E+X告警关联与高价值安全事件生成全量安全事件自动研判解读安全事件自动响应处置自然语言对话辅助威胁运营误报标注、检测规则等自适应学习客制化知识引入自定义威胁运营报表内容生成（5W1H）AI安全平台建设落地内容示例2：Web威胁检测专家模型SOC平台通过标准通道（如Kafka）发送所需数据1）Web安全告警告警名称、威胁类型、攻击状态、流量方向、规则编号、……2）Web安全日志源目IP、源目端口、协议、请求头、请求体、请求方法、响应头、响应体、URL/URI、……大模型数据底座（接入/治理/分发）Web威胁检测专家模型向量数据库治理后的Web流量流量探针A流量探针B流量探针C流量探针D代码解释器命令执行器编解码工具……工具调用基于RAG引入外部知识，如误报标注、客制化检测规则威胁告警研判信息反馈指导模型持续学习业务特征，降低误报漏报注：若SOC平台未接收Web流量原始日志，大模型系统也可以与流量探针直接对接，采集所需数据WebShell上传检测与研判系统命令注入攻击检测与研判SQL/Java/PHP等注入攻击检测与研判Java反序列化攻击检测与研判XSS攻击检测与研判系统信息检测与研判系统目录遍历检测与研判多层编码混淆绕过攻击检测与研判弱口令与逻辑漏洞检测与研判WebShell加密流量攻击检测与研判可商用商用验证中研究中AI安全平台建设落地内容示例3：钓鱼威胁检测专家模型SOC平台通过标准通道（如Kafka）发送所需数据1）标准eml格式数据发件人列表、收件人列表、邮件主题、附件资源、内容类型、邮件体、……2）终端IOA数据进程信息、网络活动、文件系统活动、注册表信息、内存活动、命令行执行、外部连接、异常文件操作行为、……大模型数据底座（接入/治理/分发）钓鱼威胁检测专家模型向量数据库标准的eml格式数据邮件网关邮件服务器用户终端代理压缩工具搜索引擎威胁情报……工具调用基于RAG引入外部知识，如误报标注、客制化检测规则威胁告警研判信息反馈指导模型持续学习业务特征，降低误报漏报注：若SOC平台未接收邮件数据，大模型系统也可以与邮件网关或终端代理直接对接，采集所需数据邮件内容语义理解，识别钓鱼意图基于二维码的钓鱼攻击检测与研判基于加密附件的钓鱼攻击检测与研判基于网站白利用的钓鱼攻击检测与研判基于图片的钓鱼攻击检测与研判钓鱼攻击URL链接检测与研判钓鱼事件详细解读与报告生成钓鱼攻击自动处置闭环（拦截、提醒）更多邮件系统兼容（Coremail、Exchange）可商用商用验证中研究中AI安全平台建设落地内容示例4：数据访问风险专家模型SOC平台通过标准通道（如Kafka）发送所需数据1）网络流量数据（请求方法、响应体、数据载荷等）2）端侧行为数据（文件访问、进程执行、网络链接等）3）业务访问数据（SDP审计日志）4）数据库操作审计日志（数审日志）5）数据库安全组件日志（动静态脱敏、防火墙、运维管控等日志）实时数据访问业务类型梳理与研判实时数据访问中的敏感信息识别实时数据访问使用意图研判实时数据访问行为风险检测实时数据访问异常行为定性与调查还原数据运营报表内容生成……大模型数据底座（接入/治理/分发）数据访问风险专家模型向量数据库治理后的资产数据搜索引擎HRMAPI威胁情报……工具调用基于RAG引入外部知识，如误报标注、客制化检测规则数据梳理敏感访问风险告警事件研判反馈指导模型持续学习环境特征，调优资产探测规则流量探针终端/主机代理SDP数据库审计数据库安全组件注：若SOC平台未接收网侧、端侧以及数据安全组件的原始日志，大模型系统也可以与网侧探针、端侧代理、数据安全组件直接对接，采集所需数据可商用商用验证中研究中AI安全平台建设落地内容示例5：持续的AI红队实时评估未来的答案：事前风险治理＞事中事后投资饱和、效果同质化基于AI安全平台落地安全大模型创新的几种方式①

使用直接采购和使用现有安全大模型示例：直接采购和使用安全运营大模型、钓鱼威胁检测大模型、数据安全大模型使用现有模型服务②

嵌入通过API集成安全大模型到现有平台示例：将钓鱼威胁检测大模型推理结果以API方式集成至现有安全运营平台调用现有模型服务<>③

扩展通过RAG来扩展安全大模型专业领域知识示例：将用户资产信息导入安全运营大模型，基于RAG让大模型有效利用用户资产信息进行准确的研判和输出智能体自定义与开发④

定制通过微调来扩展安全大模型专业领域知识示例：基于用户工控物联网有限的有监督数据集和安全基础大模型，微调出用户工控物联网安全威胁检测大模型大模型微调⑤

新建从零开始构建自定义安全垂域大模型示例：全流程实施数据工程、预训练、微调、训推优化、智能体开发工作，探索构建全新安全垂域大模型全流程大模型训练可控性和灵活性GenAI能力要求、资源要求、总成本安全知识库挂载-用户旅程

1创建知识库2知识库分片处理3挂载知识库到模型4发布模型应用安全知识库挂载-方案示意（辅助运营场景化对话增强）上传客制化文档（管理制度、建设规范等）1安全大模型对上传的文档内容进行理解2安全大模型将上传的文档与自身知识进行融合，生成综合性答复3安全知识库挂载-方案示意（资产安全管理增强）资产安全治理：将用户侧资产管理相关文档作为外挂知识库导入到安全大模型中，指导模型根据文档中的资产定义或安全规则对网络流量进