网上讲AI技术的文章,搜一下能翻出几百万篇。杭州尤其多——隔壁就是阿里,空气里都飘着"大模型"三个字。从机器学习到深度学习,从神经网络到大语言模型,从GPU到边缘部署——讲得都很全,图文并茂,术语扎堆。
但有个问题:大部分是搞研究的人写的,或者是卖产品的人写的。搞研究的跟你讲算法架构,卖产品的跟你讲"革命性突破"。真正在一线做过AI产品、踩过坑、知道什么能用什么用不了的人,不太写这些东西。
我在网安A做了近两年AI+安全项目。从模型选型到特征工程,从训练到部署,从PPT到客户现场——全套走了一遍。现在坐在省企B的甲方椅子上,回头看那段时间,有些大实话值得说一说。
不是教科书那种。是一个过来人的坦白。
机器学习这个词听起来高级。说人话:让计算机从历史数据里找规律,然后用这个规律去判断新东西。
比如你给模型看十万条SQL注入的攻击流量,再给它看十万条正常流量,它就能学会分辨"什么样的是攻击"。这跟教小孩认猫差不多——你给他看一百张猫的照片,他大概就知道什么是猫了。
但问题出在哪儿?出在"十万条"这个数字上。
你在实验室里当然能凑出十万条。到了甲方现场,能凑出两千条就谢天谢地了。而且这两千条里有一半标签是错的——因为当初打标签的那个人也不太确定这到底是不是攻击。
这就是机器学习在安全领域最大的尴尬:理论上是"数据驱动",实际上是"数据不够"。
深度学习更狠。模型层数越多,要的数据越多。你让一个transformer模型在五万条日志上训练,效果还不如你手动写二十条正则规则。不是模型不行,是你不配——数据量不配,算力不配,标注质量也不配。
在网安A的时候,技术白皮书里写"基于深度学习的未知威胁检测"。到了客户现场,工程师偷偷把模型输出关了,换成规则引擎。为什么?因为模型一天能产三百条误报,客户安全团队一共三个人,受不了。
不是我黑深度学习。是在安全这个领域,数据天生就是稀疏的、不平衡的、标注质量差的。你能做的,往往不是用多深的模型,而是在多烂的数据上,拿到一个勉强能用的结果。
这行的核心竞争力,常常不是算法。是数据治理。
大语言模型是这两年最热的东西,也确实是最有颠覆性的。
它跟传统机器学习的区别在于:以前你训练一个模型只能干一件事——检测SQL注入的干不了识别钓鱼邮件,识别钓鱼邮件的干不了分析日志。大语言模型是通用的,你给它一段告警日志,它能帮你分析;给它一段安全策略,它能帮你解读;给它一个攻击场景,它能帮你写响应剧本。
这个东西在安全运营里是真的有用。不是PPT上那种"革命性突破",是实实在在的"帮安全分析师省时间"。
比如告警研判。以前安全分析师收到一条告警,要手动查威胁情报、翻日志上下文、对照资产列表,判断到底是不是真攻击。整个过程二十分钟。大语言模型可以三秒内把以上信息全汇总,给一个初步结论,分析师只需要做最终判断。
这不是替代人,是帮人省掉最无聊的那部分工作。
但问题也很明显。大语言模型是通用模型,不是安全模型。它不懂你们公司的网络拓扑,不知道那台服务器是核心资产还是测试机,更不知道领导对哪些系统特别敏感。你让它写一份安全事件报告,它能写,写得还挺像样——但里面的业务影响评估可能是编的。
它不会故意骗你。它只是不知道。
所以大语言模型在安全领域的正确用法,不是"让AI决策",是"让AI准备材料,人做决策"。有点像医生看片子——AI帮你标出可疑区域,但签字的还是医生本人。
AI智能体这个词最近也火。简单说就是让AI不只回答问题,还能动手干活——帮你查询系统、下发策略、封禁IP、发邮件通知。
听着很美好。但在安全领域,短时间内别指望。
不是技术问题。是责任问题。AI封错一个IP,最多有人上不了网。AI把核心业务服务器的端口关了,这个责任谁来担?模型厂商说"模型只是建议",甲方说"你的模型建议的,你负责",结果就是谁都不敢用。
我见过的安全自动化做得最好的客户,用的不是AI智能体,是一个写了三年的Python脚本。每一条处置逻辑都是甲方安全团队自己定义的,触发条件、执行步骤、回滚方案——全是人在兜底。AI只是帮他们跑得快了一点。
自动化这件事,技术门槛其实不高。组织信任的门槛才是真的高。
写完上面这些,你可能会觉得我对AI有点悲观。
其实不是。我是在网安A亲手训过模型的人,我知道这些技术能做到什么,也清楚它们做不到什么。正因为亲自做过,才不想吹。
AI在安全领域真正能帮上忙的地方是两件事:减负和加速。帮安全分析师翻日志、写报告、查情报、总结事件——这些"体力活",AI确实能干,而且干得越来越靠谱。让有经验的人把时间花在判断和决策上,而不是花在翻日志上。
但AI替代不了判断。替代不了那个在组织里泡了几年、知道雷区在哪、知道出了事怎么善后的人。
你买AI产品,买的是一把更快的铲子。但挖不挖得到金子,还是看拿铲子的那个人。
写到这儿,老张又在工位对面泡枸杞了。他看我一直在敲键盘,探头问了句"又在写什么技术长篇?"
我说在写AI。老张吹了吹杯口的热气,慢悠悠说了一句:"AI再好,也得有人给它插电源。"
你品品。国企老财务一句话,把我两千字总结完了。
晚上回家,掌柜的正在给大宝小宝冲奶粉。头也没抬问了句"今天写了什么"。我说写了篇AI技术的文章。她抬头看了我一眼:"写那玩意儿有人看吗?"
我想了想:"网上讲AI的人,大部分没亲手做过。我有。"
她笑了一下。行,这篇值了。
我是老K,一个从70W年薪降薪到25W国企求活的二胎奶爸。每周二、四、六晚,聊点职场博弈局里的真话。
如果觉得有点意思,点个"在看"就当给老K抬水了。
夜雨聆风