安全大模型的思考

马上要准备2025年的护网了，最近就一直很忙，被事情裹挟着前进，忙的晕头转向，近乎感冒，昨天部门搞了一场AI大模型培训，演讲者有着很深的技术底蕴，我听到了一句关于Sass数据验证这块大为感悟，数据收集，数据验证，这对我们迭代自己产品能力来说，真的太重要了，因为我也从零到一做了一款产品。

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去知乎咨询：ailx10

在2025年的4月份，我将 poclogsender 的数据直接无感同步云端，我当时心里想的是，收集各个使用者的安全场景，等年底的时候，可以写总结说：这个工具有多少人在使用，沉淀了多少安全场景。但是5月份，我把这个云端数据公开了，所有注册用户都可以使用，一键加载回本地，用过的都说好用。

在2025年的4月份，我以为我在 poclogsender 中增加了自动生成函数功能，代理转发功能，已经是封神的操作了，但是在2025年的5月份开放云端数据后，直接将这个工具从单机版，变成了Saas联机版，简直是二次封神。这是我听了这场AI大模型培训最大的感悟，我要将“单机”做成“联机”，我要将“单兵作战“做成”协同作战“。

大模型发展很迅猛，很多人看到了套壳 agent 的机会，就网络安全运营这块，一些厂商说自己能研判所有告警，一眼假，里面跑着一个告警二次研判引擎，外面挂着一个大模型输出模版，就说这个告警是大模型研判的。就这？就这还真的能虎住很多领导，前提是告警二次研判引擎真的很准。你可别小瞧这，在没有大模型的时代，告警二次研判引擎就是态势感知产品的灵魂，是态势感知产品的核心竞争力，现在通通拿给大模型做嫁衣了。

就告警二次研判引擎来说，最重要的是维护好一套精准的攻击成功特征库，比如一个告警，请求中有A特征，响应中有B特征，那么就说这个告警是一个攻击成功事件。这里的A特征，B特征就是所谓的特征库。就拿最常见的弱口令来说，首先就要定义哪些告警属于弱口令引擎管辖范围，其次就是弱口令引擎怎么研判告警的攻击结果，想做好这些就要看大量的告警，这就回到了Sass数据收集和验证。

发布于: 2025-05-31 11:25・江苏