在日常安全运营工作中，安全专家需要面对每天数亿条告警日志，长期处于高强度处置状态，而攻击者正利用AI生成更具迷惑性的钓鱼邮件和恶意代码。一场由AI驱动的安全攻防效率竞赛已经拉开帷幕。

启明星辰集团助理总裁杜宇

　　“安星人工智能安全运营系统通过大模型、小模型和多智能体的协同，让AI能够贯穿告警、分析、处置等多个链路，形成可执行、可协同的运营能力。”启明星辰集团助理总裁杜宇在接受IT168记者专访时表示。

　　启明星辰推出的“安星人工智能安全运营系统”并非在既有安全产品中简单叠加 AI 功能，而是构建一个能够自主协同、闭环处置的智能安全运营体系。

　　据介绍，该系统已在多个省级政企和运营商客户中落地应用，安全运营效率提升了90%以上。这种从“工具赋能”到“系统级AI运营”的转变，标志着网络安全正在经历一场由AI驱动的深度重构阶段。

　　从点状辅助到体系化AI运营框架

　　在网络安全领域，AI的应用早已不是新鲜事。从早期的恶意代码检测到后来的用户行为分析，AI技术一直以“辅助工具”的角色存在于安全产品的某些模块中。

　　在实际运行中，各类能力之间缺乏有效协同，安全专家仍需要在不同系统之间频繁切换，手工整合信息并作出判断。结果是，AI提供了局部效率提升，却并未从根本上改变安全运营高度依赖人工决策的模式。

　　在战略层面，启明星辰提出了“AI 就绪的安全运营中心”这一整体构想，作为面向AI时代的安全运营底座，其目标是让企业在使用AI应用时实现“全局可视、风险可控、处置可溯”，并在数据安全、网络安全与模型安全之间形成可持续的协同防护体系。

　　围绕这一战略目标，“安星人工智能安全运营系统”所代表的并非单一技术能力的叠加，而是一种从局部智能化走向全局系统化的安全运营思维转变，即不再将 AI 视为离散的工具集合，而是构建贯穿安全运营全链路的智能体系。杜宇将这一体系的核心概括为以“安全大模型+专项小模型+多智能体”为核心的协同架构，通过模型分层与智能体协作，使 AI 不再只是某个环节的“外挂”，而是深度融入告警研判、分析与处置流程，成为支撑安全运营持续运转的“神经系统”。

　　大小模型分层协作：让 AI 既高效又可控

　　在技术架构设计上，如何平衡AI能力的广度与深度、通用性与专业性，成为落地的关键问题。启明星辰的解决思路是采用“泰合安全大模型”与“安全专项小模型”的分层协同模式。

　　大模型与小模型并非替代关系，而是明确的分工协作。大模型擅长复杂语义理解、跨域推理和多源信息整合；小模型则在结构化识别、规则执行和特定任务计算等场景中具备更高效率和确定性。

　　以告警研判这一典型场景为例。

　　首先由专项小模型完成字段抽取、资产识别、规则匹配和特征判断等基础处理，对海量告警进行初步筛选；

　　随后，大模型介入，对告警上下文进行理解和关联推理，判断其真实风险并形成可读的研判结论。

　　在漏洞分析场景中，这种分工同样明确：小模型负责指纹识别、版本匹配、漏洞触达范围判断等细粒度分析；而大模型则用于理解漏洞描述、分析利用路径和还原攻击链条。

　　更重要的是，这种协作并非简单的串行接力，大模型承担着“编排者”的角色，负责对专项小模型的能力进行统一调度与结果整合，从而完成更高层次的场景推理。这种设计既降低了大模型在结构化计算中的负担，也弥补了小模型在跨域理解和综合判断方面的不足。

　　多智能体协同：让安全运营形成“自运转”能力

　　在模型分层之上，多智能体协同机制是“安星人工智能安全运营系统”的另一核心技术特征。系统内置了日志解析、告警研判等十几种智能体，并支持A2A调度协议，使这些智能体能够像一支训练有素的特种部队一样协同作战。

　　当出现异常行为时，日志解析智能体首先完成结构化处理；关联分析智能体随即进行交叉比对；若风险上升，告警研判智能体便介入进行语义推断；确认威胁后，漏洞分析智能体验证攻击路径；最终，处置智能体生成响应建议并执行动作。

　　这一过程完全由智能体集群自主协同完成，形成典型的 Agentic AI协同模式，将安全响应从被动查证转向主动验证。

　　实战效能：降噪、识新与自动化漏洞管理

　　在实际运营中，误报率高一直是安全运营中心的主要痛点之一。针对这一问题，系统通过分层分析与深度研判相结合的机制，大幅压缩无效告警数量，使安全专家能够将精力集中在真正需要关注的高风险事件上。

　　在保证低误报率的同时，系统并未削弱对新型威胁的识别能力。面对 AI 生成攻击等特征不明显的新威胁形态，系统并不依赖固定规则或历史样本，而是通过语义理解和跨日志关联，识别整体行为链路中的异常逻辑。

　　在漏洞管理领域，系统将扫描、分析和跟踪过程自动化，支持通过自然语言发起扫描请求，并持续跟踪修复进展。当资产状态或漏洞情报发生变化时，系统会自动触发分析和扫描任务，使漏洞管理从周期性人工操作转变为持续运行的实时流程。

　　针对 AI 应用自身的安全风险，系统还通过安全防护机制，对模型输入、推理和输出过程进行全流程管理，覆盖指令检测、内容控制和审计留痕等环节，形成闭环治理能力。

　　生态与未来：自主智能体集群将成主流范式

　　在行业实践中，“安星人工智能安全运营系统”的能力体系已在媒体机构、央国企、电力等多个行业实现稳定复制。在推广过程中，各行业在算力芯片、操作系统、数据库等方面的差异确实带来了集成适配的挑战。

　　对此，系统已经适配英伟达、海光、昇腾等主流算力平台，并支持与DeepSeek、通义千问、移动九天等多类国产大模型协同。

　　在生态开放方面，系统已支持通过MCP协议对接第三方工具，通过A2A协议实现与外部智能体的互联互通，使合作伙伴和行业客户能够在统一框架下扩展各自的场景能力。

　　这种开放性设计反映了启明星辰对安全生态演进的判断——未来的安全运营将更加依赖多方能力的集成与协同。

　　面向未来3到5年的产业演进，杜宇认为，更现实的方向是形成 “自主安全智能体集群”的协同运营模式，而非单一超级AI统管的“安全自治网络”。

　　原因在于安全场景的高度复杂性，需要覆盖日志、资产、业务、人员等多维数据，同时满足合规、审计与责任追溯等多重要求。若将所有关键判断集中在一个不可解释的“黑盒”中，无论在工程实践还是监管要求上都不可行。

　　更可行的形态是由多类AI Agent组成分层体系，底层以数据与知识库为支撑，中层是具备独立任务能力、能够相互协作的安全智能体，上层由人员负责策略制定和关键决策。AI负责执行、推理、串联链路，人负责判断、治理、把控风险，这种清晰分工的人机协同形态，更有可能成为未来安全运营的主流范式。