RSAC 2026：AI SOC从“辅助驾驶”迈入“智能体驱动”时代

2026年3月，旧金山，第25届RSA Conference（RSAC 2026）如期而至，全球网络安全行业的目光再次聚焦于此。本届大会以“The Power of Community Starts With You”为主题，但贯穿全场的最强音无疑是人工智能（AI）。如果说往年AI还是安全议题中的“亮点”，那么2026年，AI已成为大会的“底色”。特别是在AI SOC（人工智能驱动的安全运营中心）领域，一场从“辅助驾驶”到“智能体驱动”的范式转移正在发生。

巨头逐鹿AI SOC：从Copilot迈入Agent时代

过去两年，安全行业热衷于讨论“AI副驾驶”（Copilot），即AI作为人类分析师的助手，提供建议和信息检索，辅助分析师提高效率，减少重复劳动。然而，RSAC 2026传递出的明确信号是：Copilot时代正在终结，Agent时代已经到来。

在本届RSAC大会上，无论是主题演讲还是展台区域，各大安全巨头纷纷亮出了其在AI SOC领域的最新“杀手锏”，其宣传口径正从辅助分析师的“副驾驶”，激进地转向能够承担真实SOC工作的“智能体”（Agent）。这些智能体不仅提供建议，而被赋予了执行权，它们能够独立完成事件分级、深度调查、自动遏制，甚至执行隔离主机、启动补丁流程等关键修复步骤。这一转变标志着AI正从“对话者”转变为“行动者”。

其中，Arctic Wolf宣布推出其所谓的“全球最大的智能体安全运营中心”（Aurora Agentic SOC）。该公司表示，Aurora智能体安全运营中心的首次亮相将带来更强大的AI驱动型安全解决方案，同时大幅降低成本和复杂性。该系统将利用周一同时发布的全新Aurora超级智能平台。

Arctic Wolf称该平台采用“变革性”的智能体框架，该框架以AI为主导，并在必要时保留人工干预。他表示，该平台利用“数百个”能够处理关键安全任务的智能体，以及用于接收遥测数据和AI信任引擎防护措施的专有安全运营图。据称，Aurora智能体安全运营中心使自主智能体能够执行核心安全运营中心工作流程，同时人类专家仍可参与监督、验证以及更高级的决策制定。

被思科收购后的Splunk，在本届大会上展示了生态整合后的新面貌，特别是在整个SOC 工作流程添加AI驱动的功能。其中最引人瞩目的新增功能是 Agentic SOC 扩展：六个专门的 AI 智能体——涵盖检测构建、分类、恶意软件逆向工程、引导响应、SOP生成和自动化构建——它们不仅呈现数据，还能实际执行安全工作流程。

Splunk Security高级副总裁兼总经理John Morgan的表述很直接：“传统的SOC工作流程无法跟上威胁的数量和速度。”

Palo Alto Networks则继续推行其“平台化”战略，重点推介Cortex XSIAM的自治能力。在AI驱动决策方面，XSIAM展示了其新的AI决策引擎，能够在无需人工干预的情况下，对90%以上的常见告警进行自动闭环处理。在降低误报方面，通过深度学习模型，XSIAM显著提升了告警的准确性，解决了困扰SOC多年的“告警疲劳”问题，以减少分析师的无效工作量。

作为全球软件巨头，微软不仅展示了Security Copilot的交互升级，更重磅发布了“端到端Agentic AI安全体系”，这一体系标志着微软的安全战略从“辅助人类分析师”全面转向“构建可信赖的自主安全智能体。依托Agent 365架构，Security Copilot具备了跨产品线的自主编排能力，例如在检测到高级持续性威胁（APT）时，Copilot不仅能生成报告，而能自主串联多个动作，实现全自动事件闭环。

与巨头们追求大而全的平台不同，在本届RSAC大会上，初创企业凭借“无历史包袱”的架构优势，在智能体赋能安全运营方面展现出更激进的深度自动化与场景专精化能力。以Clearly AI为例，它彻底摒弃了复杂的查询语言，构建了“对话即执行”的Agent层。其智能体不仅能理解自然语言意图，更能自主拆解任务、生成代码并执行封禁等高危操作，且具备完整的可解释性推理链，将安全运营门槛降至最低，实现了从“辅助查询”到“自主闭环”的质变。

而Humanix、Realm Labs等新锐巨头则专注于特定痛点。它们的智能体在L1/L2告警分诊、云配置漂移修复等场景中，能独立承担90%以上的重复性工作，甚至主动生成补丁代码或应用修复策略，真正实现了安全运营的“无人值守”与系统“自我愈合”。

RSAC 2026清晰地表明，AI SOC不再是未来的概念，而是当下的现实，智能体成为驱动AI SOC实战化的核心引擎。

奇安信：智能体赋能SOC尚需四大能力

在RSAC 2026的全球舞台上，当行业讨论的焦点从“AI如何辅助驾驶”转向“如何将智能体赋能SOC”时，在国内，奇安信以务实的态度和扎实的落地成果，展现出中国安全厂商在这一波AI浪潮中的深度思考与实践积累。

奇安信认为，安全运营的技术演进并非一蹴而就，而是经历了清晰的代际跃迁。从早期防火墙、IDS等单点设备各自为战，到SIEM、XDR等平台汇聚打破信息孤岛，再到SOAR实现自动化编排、Copilot带来AI辅助运营——每一次演进都在解决上一阶段的核心瓶颈。

而2026年，AI赋能安全正式迈入第五个阶段——AI智能体驱动。在这一阶段，安全系统不再只是汇聚数据和展示告警，也不是简单地在现有平台上贴一个AI对话框，而是真正形成一个由智能体驱动的、统一数据层、统一能力编排、统一治理并持续运转的安全运营中枢。在这个新范式下，AI不再是“辅助者”，更不仅是一个只能“回答问题”的对话助手，而是进化为能够接入系统、理解上下文、调用工具、协同分工并在严格治理约束下运行的“数字执行体”。

要实现这些目标，奇安信认为，智能体还须构建四大核心能力。

第一、具备持续感知能力，变被动为主动。

传统的安防模式往往依赖人工发现告警后再介入，存在明显的时间滞后。而成熟的智能体必须具备全天候的主动感知能力，能够像雷达一样持续扫描环境，主动发现细微的异常波动和潜在威胁。它不再等待指令，而是基于对业务上下文的深度理解，实时捕捉跨场景的变化，确保威胁在萌芽状态即被锁定，彻底终结“漏报”与“延迟”。

第二、具备独立分析能力，实现自主推理研判。

智能体不能仅仅是数据的搬运工，更必须是逻辑严密的分析师。它需摆脱对人类专家的依赖，无需等待人工指派即可自主启动调查程序。通过关联多源线索、推理攻击链条、研判威胁等级，智能体能够独立完成从碎片化信息到完整情报的转化。这种独立分析能力，使其在面对海量告警时，能迅速去伪存真，将有限的算力聚焦于真实威胁。

第三、具备协同决策能力，构建人机共生新范式。

智能体并非要完全取代人类，而是要成为最可靠的战友。在决策环节，智能体应具备高度的灵活性与协作性：对于标准化、高置信度的威胁，它能果断自动处置；对于复杂、模糊或高风险的场景，它则能精准识别并移交人工审核。这种“肩并肩”的协同机制，既发挥了机器的速度与规模优势，又保留了人类专家的战略判断力，实现了效率与安全的最优平衡。

第四、具备闭环执行能力，确保动作可追溯、可治理。

从发现威胁到策划响应，再到联动边界、终端系统进行处置，智能体必须能够打通全链路，实现真正的闭环执行。更重要的是，这一过程必须在统一的平台治理下进行：所有动作均需记录在案，权限边界清晰明确，操作过程全程留痕。只有具备这种可追溯、可审计的执行能力，智能体才能被企业放心地纳入主流程，从“演示型能力”真正蜕变为“生产型能力”。

以奇安信AISOC内置的8大智能体为例，它们在采集数据、威胁检测、智能研判、智能调查、智能响应、事件根除、优化反馈、报告生成等8个运营环节中协同工作，形成了完整的运营流程自动化闭环。这种“智能体协同”的模式，不仅让安全运营从“人找事”变为“事找人”，更在根本上改变了安全团队的工作方式——分析师从繁琐的告警核验中解放出来，聚焦于更高价值的策略优化与风险决策。

目前，奇安信AISOC在安全运营中的价值不再停留于理论推演，而是在金融、新能源、汽车制造、矿业等多个行业的头部客户中获得了普遍验证，清晰地勾勒出AI安全运营的“实战化”图景：

• 在金融领域，某头部证券公司依托AISOC，将有害攻击检测率提升至93.3%，智能研判准确率高达95.9%，智能调查时间缩短达80%，并全面实现了智能处置与汇报。

• 在新能源领域，某新能源巨头通过部署AISOC，实现了惊人的98.7%告警消减率，95.4%的告警研判率和94.4%的研判准确率，将威胁漏报率控制在2%以下。在AISOC与SOAR的协同下，平均修复时间（MTTR）提升了5倍。

• 在汽车制造领域，某全球豪华车企在AISOC助力下，实现了单条警报研判时间低于9秒的近乎实时响应，有效告警识别准确率高达93.1%，较传统人工模式提升了2.7倍。

• 在矿业领域，某跨国矿业巨头引入AISOC后，在人机协同模式下，单名分析师日均处理告警的能力从过去的300条跃升至近10000条，运营效率实现了数十倍的惊人跨越。

这些成果不仅验证了AI在安全运营中的实战价值，更标志着行业正在从“AI辅助人”向“AI驱动运营”的范式跃迁。

未来展望：构建体系化、自主化的安全智能体

面向未来，奇安信认为，随着AI技术的持续演进，安全运营的终局将不再是“更聪明的AI”，而是“更可靠的智能体系统”。当攻击者也开始利用AI发动规模化、智能化的攻击时，防御方必须构建起体系化、自主化的安全智能体能力，才能在攻防对抗中占据主动。

这一方向的核心，是构建基于OODA循环（观察—定向—决策—行动）的自主防御体系。在这个体系中，安全智能体具备更强的感知能力、更深的上下文理解、更优的决策逻辑，以及更可靠的执行能力。它们不再依赖预设规则或人工触发，而是能够在动态、复杂的网络环境中，持续感知异常、自主研判风险、协同执行响应，并在每一次对抗中不断沉淀经验、优化模型、进化能力。

奇安信正在将这一理念深度融入AISOC的产品演进与客户实践之中。从金融领域的智能研判、新能源领域的告警消减，到跨国车企的全球协同运营、国家部委的全流程闭环——这些实战案例背后，正是AI赋能安全从“能做事”到“做对事”、从“单点辅助”到“体系协同”的能力跃迁。

在RSAC 2026“社区力量”的主题映照下，奇安信的实践表明：当AI智能体真正成为安全团队中“可扩展、可增强、可补充”的新成员时，安全运营的效率边界将被重新定义。面向AI原生的未来，构建体系化、自主化的安全智能体，不仅是技术演进的方向，更是每一位安全从业者必须迎接的变革。

声明：本文来自虎符智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。