幾天前,我和一家財富50強公司的首席信息安全官坐在一起,聽他的安全團隊聊他們怎么在SOC里用AI代理。團隊很聰明,計劃也夠扎實——他們已經把Claude接進了幾款檢測工具,在一些特定調查里看到了實實在在的價值。可當我們把整體架構鋪開,我總覺得哪兒不對勁。他們正在搭建的設計,能讓那極小一部分真正需要深度人工判斷的警報處理得漂漂亮亮,但對剩下的絕大多數警報,它壓根沒打算理。
回程飛機上,我翻出一本好幾年沒碰的書——丹尼爾·卡尼曼的《思考,快與慢》。卡尼曼是那種真正改寫人類決策認知的人。他花了一輩子研究人到底是怎么思考的,而不是經濟學家假設人該怎么思考。2002年他拿了諾貝爾經濟學獎,這本身就說明他的研究跨了多大邊界。書的核心論點很簡單:人的心智不是一塊鐵板,而是兩套并行、常常擰著勁的系統。
![]()
系統1是自動運行的腦子。它瞬間識別模式,幾秒鐘讀懂一個房間的氛圍,不用你費心就能讓你活著。它快、靠聯想、無意識。按卡尼曼的研究,人類認知的95%都發生在這里——像個你永遠看不見的操作系統,在后臺靜靜運轉。系統2才是你來啃硬骨頭的腦子:審合同、琢磨沒現成答案的問題、在壓力下做判斷。它慢、講邏輯、費力氣,只占我們思考的剩下那5%。它能推翻系統1的錯誤,但容量有限,不可能全天滿功率運行。一旦累了,系統1照樣接管。
卡尼曼最核心的洞察不是說哪個系統更好,而是說人類犯的錯誤,幾乎全是因為把錯系統用在了錯的活上。該自動處理的事硬要用深思熟慮,人就會耗盡,還照樣漏掉東西;該認真掂量的事偏偏憑直覺反應,那就會犯出信心滿滿的錯誤。落了地,我打開筆記本,給自己敲了一句話:“眼下多數安全團隊設計AI架構的毛病,全在這兒了。”
數字不是巧合。卡尼曼說人靠系統1處理95%的認知,系統2只占5%。而一份基于超過2500萬條企業警報的分析發現,98%的警報可以自主處置,真正需要人工審查的不到2%。這幾乎就是卡尼曼比例的翻版。一個運轉出色的SOC不是什么新發明,它的架構不過是在模仿最優決策心智的實際運作方式:對海量的日常警報用快速、自動化的處理,把人類的判斷力留給那極少數真正需要深究的個案。
當然,卡尼曼的書并不是給安全運營寫的,但道理卻像刻上去的一樣清晰。安全分析員的精力是一種稀缺資源,跟系統2一樣——容量有限,容易被耗盡。讓他們把時間花在那種一看就知道是誤報、重復掃描或者已知攻擊套路的警報上,就等于讓系統2去干系統1的活,結果一定是人困馬乏,速度還跟不上。而純靠自動化把一切全包了,就等于讓系統1去承擔所有的復雜判斷——沒有專家經驗介入的“自動決策”,碰到變形的高級威脅,往往會自信地犯錯。
好的設計,不是把兩者對立起來,而是把“快”和“慢”的切換做得自然。用自主AI代理覆蓋那98%的確定項,讓分析員在自動化流程之外,以協同副駕駛的角色盯住那2%的模糊地帶。Claude這樣的模型可以既做快速模式識別的幫手,也能在需要時把上下文、證據鏈和可疑點一并推給分析員,由人來做最后的慢思考。這個結構不是要讓機器取代人,而是讓機器干機器的活,人干人的活——該快的地方不拖延,該慢的地方不偷懶。
下次再看SOC的設計圖,也許不用急著追什么最新的框架,先問問自己:這份架構里,哪兒是系統1的地盤,哪兒給系統2留出了真正能靜下來思考的空間?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.