“安全行业对大模型的探索已从初期的快速集成模式,迈向更纵深的”实战化”阶段。这要求我们要跳出通用模型的框架,深入底层技术创新,打造真正属于安全领域的垂直大模型”,360集团首席科学家、数字安全集团CTO潘剑锋在ISC.AI 2025未来峰会上强调。会上他结合360安全大模型的实践成果,系统阐述了基于人脑“快慢思考”方法论重构大模型与智能体能力边界的创新路径,为行业发展提供了全新思路。
安全大模型进入“深水区” 底层创新成必然要求
近年来,安全行业对大模型的探索经历了显著转变。从初期“通用大模型+安全知识库+安全工具”的快速集成模式,逐步向专业化纵深发展。尽管初期模式在报告生成、数据分类分级等场景中取得了初步成效,但随着应用的深入,安全领域的独特性对技术提出了更高要求。一方面,安全领域的高价值专业数据需要实现真正的 “学进去、用起来”,完成深度转化与吸收;另一方面,安全专家经验需在用户本地深度落地,对精准性、无二义提出了新挑战。
基于这些行业需求,360自2023年起便以人脑“快慢思考”方法论为核心,锚定安全场景的任务特性,构建差异化技术路线,以应对“深水区”的各种挑战。
“快慢思考”方法论——重构安全大模型的能力边界
所谓“快慢思考”方法论,简而言之就是将安全场景中的各个子任务划分为“快思考任务”或“慢思考任务”,分别进行针对性处理后再实现综合应用,从而实现安全大模型能力边界的重构。
具体而言,“快思考”对应人类95%的日常潜意识决策,依赖海量训练形成“直觉判断”,大模型擅长通过海量标签数据挖掘统计规律,在概率意义上掌握学习样本所反映出来的一些隐含知识,可以看出“大模型擅长快思考”;“慢思考”对应人类“深思熟虑”的多步推理,需结合事实性知识与外部工具,在安全领域体现为复杂威胁溯源、多维度关联分析等深度推理任务,现阶段主要通过安全智能体的方式来解决。在这两大方向上,360以实战经验为基础,不断实现创新型突破。
安全大模型实战突破:三级跳式发展实现效能跃升
在安全大模型实战探索中,潘剑锋介绍,360始终聚焦各类安全任务,以“在专业场景中实现小参数模型能力远超通用大尺寸模型”为目标,在实战效果与落地能效上持续突破,整体经历了三个发展阶段。
第一阶段聚焦单个安全任务,探索垂直模型结构与训练方法创新。针对安全任务在数据、任务属性及实战需求上的独特性,360为不同任务定制专用模型并开展专项训练。以终端行为多模态研判模型为例,潘剑锋解释,从海量EDR日志中寻找攻击痕迹,如同在成千上万页文字记录中定位一个目标,难度极大。为此,360创新思路,将枯燥的EDR日志转化为“终端行为监控录像”,每条操作对应一帧画面,让AI以“看录像、看精华”的方式完成分析,最终实现了“又准、又快、又省钱”的实战效果。数据显示,该模型对EDR行为的研判与归因准确率达99.42%。
随着产品化落地深入,多模型并行导致参数过大、GPU消耗过高、应用成本攀升,且单一任务需多种模型能力协同。为此,360启动第二阶段研发,推出“多专家协同(CoE)”大模型架构。该架构以大基座为基础,可像搭积木般插入不同专家分区,多数参数固定,任务执行时无需激活所有参数,有效解决多模型协同难题,实现集约化应用。
第三阶段聚焦训练框架创新。为解决多机多卡环境下训练成本高昂的痛点,360主导(联合伯克利BAIR实验室)推出业界首个开源的RL-LoRA训练框架,并升级为支持“持续进化”的LoRA训练框架。潘剑锋表示,该框架一方面使显存和带宽开销呈数量级降低,实现极致“省”;另一方面,节省的显存支持更大的Batch Size,使训练效率翻倍、周期大幅缩短,实现极致“快”。
安全智能体落地实践:从“复刻经验”到“自主决策”的智能进阶
在安全智能体的实践中,360以安全智能体为载体将安全专家经验、专业知识及系列工具智能化地落地到客户端,“精准性、无二义性”是实战化应用关键,其发展经历两阶段,实现从“复刻经验”到“自主决策”的进阶。
第一阶段利用Workflow精准落地复杂的安全专家经验。通过编排平台整合360独有的终端狩猎、APT威胁溯源等专家经验,结合大模型能力与安全工具,实现“媲美专家”的实战效果。但潘剑锋也指出,高阶安全专家经验的落地并达成实战化效果,过程复杂且技术门槛高,是一项系统化工程。
为此,第二阶段通过扩展模型推理能力,提升智能体自主规划与推理能力。360创新构建“蒙特卡洛联想树智能体 ”,通过“AI专家团队”使其摆脱单个AI局限,具备自主规划、试错、纠错能力,在复杂环境中保持极高的可靠性、可控性和可信性,且推理路径清晰可查,成为能战略性思考、动态调整并解决复杂问题的AI系统。
潘剑锋表示,安全大模型是安全智能体高速发展的基础,360 将持续在这一领域创新,并不断与业界共享成果,共同推动安全大模型行业迈向更深层次的发展阶段。
