1月29-30日,由四川警察学院、公安部网络安全等级保护中心主办的2026年网络安全等级保护技术学术交流活动在成都举行。活动以“科技赋能·筑基强网”为主题,多名来自国内网络安全领域的权威技术、法律专家分享了新技术及热点研究成果。蚂蚁集团天宸实验室主任刘焱出席本次交流活动,并做《网络安全垂域大模型在安全运营场景下的数字分身应用》主题分享。
刘焱指出,高度复杂业务使安全保障任务面临巨大挑战,如
数据内视能力不足:检测系统过度依赖单一数据源,缺乏对应用层、操作系统等多维数据的全面监控;
攻击检测能力不足:攻击行为复杂多变、内部体系架构繁杂,大量用于风险研判的运行时上下文缺失,导致研判结论偏差,出现告警风暴;
响应联动不足:AI驱动的自动化攻击成本降低,并且以多种手段隐藏身份,防御方自动化分析难度高,全链路回溯挑战巨大,人均响应能力与攻击规模严重失衡。
刘焱表示,真正制约大模型落地效果的并非模型本身能力,而是数据的质量与深度。现有安全建设中存在四大数据源“深度”问题:数据难以还原事实本源、采集范围受限于现有技术手段、观测时机窗口易缺失、海量数据无法持久储存。
对此,蚂蚁集团首创了安全平行切面体系,该体系基于AOP(面向切面编程)思想,实现非侵入式数据采集与逻辑注入,在不修改应用源码的情况下给程序动态添加或修改功能,并通过切面平行舱保证其有序运行,即在不影响业务运行的情况下获取深层执行数据,提供精准的安全内视与干预服务。蚂蚁集团围绕安全平行切面打造了企业安全建设的基础设施,实现了威胁对抗能力与效率的跨越式提升。
在数据采集层面,应用安全平行切面后,可以实现“日志自由”。例如,在JAVA服务器中检测内存马时,按照传统常见的方法需要在敏感节点打日志、修改代码,如使用的是招聘等第三方系统,操作则会更加复杂。但应用切面技术后,仅仅需要关注三个关键函数,对读取后的数据进行研判即可,全过程无需升级软件本身。
刘焱提到,大模型并非万能,实践发现其用于威胁检测细分领域时存在局限性,尤其是在“信息不足”时,其严重的幻觉问题会导致其研判错误。蚂蚁集团提出的DKCF大模型推理可信应用框架,是对大模型专业应用可信问题解决之道的探索,其中D指的是充足的数据供给;K指的是专业知识工程,包括了行业数据集和专业知识图谱对齐;C指的是协同规划、编排,把高难度问题拆解为多个简单问题,人类专家与AI专家融合演进;F指的是高效核验、反馈,并根据反馈内容不断迭代。
在威胁检测领域中,切面与DKCF结合,可以实现全域联动获取数据,能精准感知威胁、定性事件、智能定损。
在数据层面,安全平行切面技术的信息采集解耦,提供了“数据和日志自由”;
在知识层面,利用大模型对多维实时行为序列抽取,构建主客凭据关联以及行为依赖生成行为知识图谱,结合ATT&CK技战术领域知识库,提供分析依据;
在协同层面,基于用户行为链构建行为序列校验引擎,实现了检测智能体调用链,融合专家智能和机器智能;在核验、反馈层面,残差分析、反馈弥补了各层次(策略、知识、能力等)不足,解决了误报多、未知威胁发现能力弱、可解释性差的痛点。
实践落地中,大模型威胁检测风险研判的“判黑”准确率超85%,召回率超95%,响应时间从30分钟以上缩短至分钟级。
演讲的最后,刘焱表示,大模型时代,工作范式发生了变化,从人工操作转变为人机协同,目前阶段的人机协同从以人为主过渡到以AI为主,人工参与解决AI遇到的难题。未来,对于安全运营的愿景是让AI成为工作人员的数字分身,去承担枯燥、重复的工作,安全团队则作为“指挥官”,聚焦更高价值的安全研究、 “攻防边界”探索,推动网络安全更好的发展。
Explore the transformative role of self-healing AI in cybersecurity. This article delves into its integration within DevSecOps, the balance between AI autonomy and human oversight, industry applications, and the challenges of implementation in protecting complex digital environments.
The post Self-Healing AI for Security as Code: A Deep Dive Into Autonomy and Reliability appeared first on Security Boulevard.
APT28, the Russia-linked advanced persistent threat group, has launched a sophisticated campaign targeting Central and Eastern Europe using a zero-day vulnerability in Microsoft Office. The threat actors leveraged specially crafted Microsoft Rich Text Format (RTF) files to exploit the vulnerability and deliver malicious backdoors through a multi-stage infection chain. The campaign, tracked as Operation Neusploit, […]
The post APT28 Hackers Exploiting Microsoft Office 0-Day in the Wild to Deploy Malware appeared first on Cyber Security News.
Multi-turn Injection Planning System for LLM Evaluation MIPSEval is a modular framework for simulating and evaluating the behavior
The post MIPSEval: Automated Multi-Turn Injection Planning for LLM Security appeared first on Penetration Testing Tools.