自2022年底开始,以大语言模型(LLM,以下简称大模型)为代表的生成式人工智能掀开了新一轮技术与产业变革的幕布,整个2023年,国内也开启了“百模大战”,2024年6月,英伟达市值超过微软和苹果成为全球第一,标志着AI浪潮成为这个新时代的主旋律。
大模型也被寄予厚望,用以解决长久以来困扰网络安全行业的传统安全问题和AI技术带来的新安全问题。过去一年多,我们看到诸多安全厂商积极将大模型用于构建网络安全产品和服务,近日召开的ISC.AI 2024第十二届互联网安全大会,360集团创始人周鸿祎表示,希望让人人都能获得大模型带来的技术红利,并宣布对购买360标准产品的用户免费提供大模型标准能力。
大模型落地方法论:找垂直场景 做专业技能的大模型
网络安全行业正在迎来一场重大范式转移,用户关注的重点在于,该如何落地大模型发挥其蕴含的价值,该如何利用大模型打造出新质生产力。借鉴自动驾驶的成熟度等级,周鸿祎认为,要实现“端到端”的自动驾驶,必须将深度学习和规则编写结合,映射到安全行业,用AI升级安全也要提出类似的L1-L5级别目标,打造安全大模型,是安全迈向“自动驾驶”的必由之路。
然而,安全大模型说起来容易,做起来难。根据观察,目前行业整体尚处于验证阶段,市面上宣称结合了安全大模型的产品,主要集中在基于自然语言的安全问答、安全运营的提质增效,从攻防技术层面仍然缺乏颠覆性的创新与应用。
构建安全大模型难在哪?首先是必须深入掌握模型底层技术,包括大数据、搜索、自然语言处理、安全等跨学科的综合而丰富的经验。其次是必须掌握海量高质量的安全知识,数据不等于知识,数据经过提炼才能成为知识,一定规模的大模型的知识含量、知识密度、知识准确度越高,效果越好。再者是必须与安全业务深度融合,聊天机器人、副驾驶更多像是助理角色,只有与业务深度融合才能让大模型成为核心引擎释放高阶的能效。
周鸿祎透露,360在过去一年也经历着持续学习打磨的过程,通过100+ PoC实践,总结出一套成熟的专业化大模型方法论。他特别提醒拥抱大模型的企业在实践中需要避开一些误区,不要宏大叙事,脱离具体场景实际是很难交付的;不要追求万能,期望打造万能的大模型解决所有的问题;不要妄想靠大模型取代原有IT系统,事实上大模型充当的是“大脑”,搭配“四肢”才能进入“自动驾驶”状态;不要企图通过大模型跳过数字化阶段弯道超车,没有数字化的积累,就没有数据和知识,缺乏打造大模型的基础;不要迷信Copilot模式,结合具体的业务,提示词可能是中国企业用户使用人工智能最大的障碍。
因此,调整思路,落地大模型的关键在于不追求全能大模型,而是一个模型干一件事,找垂直场景,做专业技能的大模型,由多个专家模型组合起来工作,意味着每个模型都可以更小,相应的参数、算力、训练等知识和成本问题就会迎刃而解,而模型的响应速度可以更快,用户体验也更好。
看360安全大模型如何实践方法论
基于“从实践中来,到实践中去”的大模型方法论,周鸿祎指出,360安全大模型是这套方法论的最佳实践,结合其分享和360安全大模型的市场表现,我们来看看该方法论的实施要点及成效。
找到明星场景
企业挖掘适合的应用场景可以从四个方向来考虑,对上看齐决策者,对下考虑基层员工,对外考虑客户和产品服务,对内考虑内部管理流程,能不能找到一个场景,帮助降低10倍人力、降低10倍成本、提高10倍效率、提升10倍体验。按照这个思路切中痛点,根据场景定义大模型功能,根据功能训练专业大模型,这样小切口、大纵深的路径,让大模型落地有的放矢。
360安全大模型正是360结合政企单位业务寻找“明星场景”的有力实践,周鸿祎介绍道,360基于攻击检测、运营处置、追踪溯源、知识管理、数据保护、代码安全这六个场景训练了六个专有的专家大模型,解决了安全行业的普遍问题。如攻击检测专家模型,通过将日志、数据等海量原始语料提炼为高知识密度语料,独有的探针能力凝结为本质行为语料,进行威胁发现的“端到端”训练,实现了“已知的未知”(即 威胁发现)+“未知的未知”(即 异常痕迹发现)的瞬时甄别,攻克威胁狩猎核心卡点。又如运营处置专家模型,实现了自动预警、自动研判、自动溯源、自动追踪攻击者、自动评估影响面、自动处置、自动验证、自动报告八大自动化操作,解决企业大量安全设备无人运营问题,推动数字安全运营从“辅助驾驶”到“自动驾驶”。
知识管理
许多企业的安全知识散落在组织内部,非常碎片化,比如安全团队的沟通邮件、聊天记录、工作会议记录等暗知识,安全大数据系统或数据库中存储的安全数据等隐知识,安全平台的运营记录以及各种安全工具的日志、访问记录、配置管理信息等潜知识,还有外部威胁情报、行业安全合规指南等外部知识。如何把这些知识捕获提炼,是非常重要的,知识密度、知识质量是安全实现智能化升级的关键,没有知识,就没办法训练大模型,就没办法做知识对齐,大模型实现了从连接信息到获取知识的跨越。
专家协同
要实现一个功能,需要有一套技术架构,协同多个专家模型进行工作,传统的MoE架构向专家模型分发任务时决策机制简单,专家模型之间不能协同,难以胜任复杂任务。参照人类大脑的功能分区,如语言中枢、逻辑中枢、记忆中枢、情感中枢、运动及感觉中枢等等,并且多功能区自动协同工作,360首创了CoE(Collaboration of Experts,专家协同)架构,实现多个专家模型的协同工作,使多个专家模型形成一个整体。
构建智能体
大模型的“快思考”能力非常突出,依赖记忆和经验迅速作答,速度快但幻觉多,其至今仍然比不上人脑的关键,在于缺乏“慢思考”能力,比如面对复杂难题,人脑需要调动注意力分析和解决问题,注重规划和反思,速度慢但准确性高。360用Agent框架打造“慢思考”系统,以大模型为核心,让大模型经过反复调用,结合外部知识和工具,增强大模型规划、反思能力,完成复杂任务。
融合工作流
企业大模型不是顾问,不能靠LUI解决业务问题,企业大模型也不能只是CUI,需要通过Workflow和GUI与产品界面融合在一起,企业大模型也不能取代IT系统,要和业务系统深度融合、协同工作,并且实现多Agent协作。360安全大模型设计了一套工作流框架,打通组织和人员,连接不同业务系统,把不同的节点、组织、人员、业务系统用工作流连接在一起,提升人机协作效率。
安全大模型融合业务场景 提质增效实现安全的“自动驾驶”
在这套方法论的指导下,周鸿祎介绍道,为了训练360安全大模型,360投入了20年安全数据知识积累、10年AI技术沉淀、80名AI算法专家、100名安全专家、利用5000卡算力资源,花费了200多天进行训练调优,目前已具备L4级的“自动驾驶”能力,相当于汽车的“高级自动驾驶阶段”。其着重强调,模型不是产品,模型只是能力,能力要结合业务场景,产品化才能发挥价值。目前,360安全大模型已在终端防护、安全运营、安全服务等诸多关键业务场景中落地实践。
终端防护
360安全大模型加持EDR产品,在0day捕获、APT猎杀等高阶终端能力方面明显提升,其于近期的实网攻防演习中成功捕获针对某企业OA系统的0day攻击,试图勒索被检测与阻断,并且实现了分钟级猎杀APT-C-28海莲花对某企业的攻击。
安全运营
360安全大模型结合安全大脑,实现了高级自动安全运营,以工作流方式完成安全运营流程。以某国有大型央企客户实践为例,在实际应用中提升告警降噪效果近10倍、事件研判与溯源调查时间缩短近100%、事件自动化处置率提升900%、运营人效增长300%。
安全服务
360安全大模型赋能安全即服务,带来显著的降本增效以及能力提质。某500强公司安全运营中心,1个安全工程师服务客户数由10个提升到30个;某单位行业开展攻防演练,今年派驻的安全专家由8位减到1位,协同360智能数字专家开展服务,提交5份溯源分析报告,加分1000分,专家能力提升8倍。
此外,周鸿祎也分享了360安全大模型在真实业务场景中取得的重大突破,通过对全网安全数据和知识进行提炼、压缩和蒸馏,360安全大模型实现对全网安全知识的深度理解。未来,在大模型赋能下,本地安全大脑“无需联网”,在封闭网络中也能获得全网数据和知识的赋能。
结 语
大模型发展迈入场景之年的2024,采用经过实践验证的方法论,结合所在行业所在企业的关键业务找准应用场景训练出专家大模型是成功落地的关键。被誉为新一轮工业革命火种的大模型正在重塑千行百业,360也在此时选择免费提供其安全大模型标准能力,只有把高阶的能力变得普惠,让更多企业获得技术红利,才能实质上推动技术的发展和应用的成熟。期待安全大模型融合赋能更多的业务场景,推动实现新质生产力变革。