“AI在安全领域的应用，正从威胁检测和响应快速扩展到分析环节。分析能力增强后，又会进一步反哺检测和响应，形成正向循环。”

近日，安全运营与分析平台厂商Igloo Corporation AI研究室负责人Jeong Il-ok在接受采访时表示，AI正在重塑安全技术的发展路径，企业提升安全能力的条件也日趋成熟。

Jeong Il-ok指出，日志等数据分析本身就属于高阶安全工作，近期AI在这一环节的应用明显增加。过去受限于系统能力，AI更多用于碎片化分析；而随着技术演进，AI如今已开始在分析场景中展现优势。分析做得越深，过去因检测不足而难以及时应对的威胁，也越有机会在响应环节得到更有效处理。

据介绍，Igloo Corporation早在十多年前就已开始加大对AI安全技术和运营的投入，并已取得多项相关专利。去年，公司又将AI解决方案团队与数据科学团队整合，扩编为由Jeong Il-ok负责的AI研究室。

Jeong Il-ok表示，随着OpenAI、Anthropic等厂商相继推出大语言模型（LLM），安全AI能力正进入快速演进阶段。在LLM普及之前，行业主要依赖机器学习和深度学习，AI能力要实现“超越人类”仍存在明显边界；而随着LLM能力持续提升，安全领域的AI应用也在同步增强。

他透露，公司也在推进自研模型开发，但仅依靠自研模型仍有局限。在特定场景下，将自有数据与LLM结合并进行微调，能够显著提升效果。通过“自研模型+LLM”的混合路径，企业可以更贴近实际需求地使用AI，突破以往限制。Jeong Il-ok补充称，只有根据业务特性组合使用LLM、自研小语言模型以及传统机器学习模型，才能覆盖更广泛的安全工作场景。

在Igloo Corporation看来，AI在安全领域落地已经进入可行窗口期。公司今年将采取更积极的推进策略，重点方向是自治型安全运营中心（Autonomous SOC）。所谓自治型SOC，其核心在于像自动驾驶一样，在尽可能减少人工介入的前提下，借助AI推动安全运营自动化。公司认为，这一目标短期内难以一步到位，但已将其明确为长期演进方向。

Jeong Il-ok表示，自治型SOC大致可分为5个阶段。目前，行业正从“在部分任务中使用助手工具”的第3阶段，向“实现部分自治”的第4阶段过渡。未来，一些基础性工作或AI判断更为准确的环节，将逐步由AI承担。对Igloo Corporation而言，第4阶段是更现实的近期目标，公司也正围绕这一目标持续强化研发能力。

不过他同时指出，自治型SOC并不只是技术问题。要让这套体系真正适用于实战，还必须为不同企业提供能够反映其自身环境和业务特点的落地条件。

基于这一判断，Igloo Corporation并未选择直接向企业交付预设好的AI代理，而是计划推出一套安全AI代理平台，让企业能够围绕自身场景开发和配置安全AI代理。按照规划，该平台将连接SIEM（安全信息与事件管理）和SOAR（安全编排、自动化与响应）等系统，提供更接近智能代理的使用方式。

公司表示，借助这一平台，企业用户到岗后可由AI自动汇总并呈现前一日发生的安全事件分析结果，同时获得更适配本企业环境的响应和处置建议，这类应用场景未来都将具备落地可能。

Jeong Il-ok表示，不同客户对AI代理的能力水平和实现方式存在明显差异。如果自治型SOC只停留在提供单一AI模型或单一系统的层面，实际应用空间将十分有限。只有支持企业结合自身环境完成部署和落地，相关转型才可能真正发生。他说，Igloo Corporation计划通过AI代理平台，将内部和外部信息叠加到企业用户已有的知识体系之上，从而帮助其更高效地应对威胁。

在Jeong Il-ok看来，面向企业提供可定制开发AI代理的平台，海内外头部科技企业都已开始布局，但安全领域仍需要针对安全任务深度优化的专用平台。

他举例称，当年RPA扩散后，安全领域也随之形成了SOAR体系。若仅依赖通用平台，很难覆盖完整的安全流程。因此，平台既要支持助手工具，也要在SIEM中支持自然语言检索，还要能够自动生成各类规则（Rule）和SOAR playbook，只有专用平台才更具可行性。

据了解，Igloo Corporation计划同时以云端和本地部署（on-premise）方式提供这套安全AI代理平台。公司预计，在本地部署需求相对更高的韩国市场，相较更偏向云端的海外平台，这一能力将成为其差异化竞争要素之一。

Jeong Il-ok最后强调，关键不在于完成某一个单点任务，而在于覆盖整个安全流程。过去，业界往往针对检测、分析、响应分别构建不同代理；而现在，Igloo Corporation也在提供能够整合这些能力的混合型代理。他认为，这些能力不应彼此割裂，而应实现互联互通，只有这样，整体完成度才能真正提升。