文章总结: 本文分析中国网络安全厂商从大模型参数竞赛转向工程化应用的战略转型。核心观点指出安全垂域大模型微调边际收益递减,厂商转向分层架构(小模型实时检测、中模型告警研判、大模型交互分析)。真正竞争力在于高质量语料生产平台、百PB级数据底座和工具链MCP化三重壁垒。未来趋势包括分层架构普及、语料数据深耕及工具链标准化,强调工程化能力是安全AI核心护城河。 综合评分: 78 文章分类: AI安全,安全建设,解决方案,安全运营,云安全
当大模型不再是唯一答案:中国网络安全厂商的AI化突围之路
安全牛
2026年6月30日 12:37 北京
在小说阅读器读本章
去阅读
点击蓝字 关注我们
一、潮水转向:从”参数崇拜”到”工程理性”
如果把时间拨回三年前,几乎每一家有点野心的网络安全厂商,办公室里都在讨论同一件事:我们什么时候自己训一个大模型?参数要做到多大?能不能在某个榜单上冲进前列?那是一个属于”模型竞赛”的年代——谁的参数规模更大,谁的论文数据更漂亮,谁就仿佛握住了通往未来的船票。
然而今天,我们听到的声音却悄然变了调。一位资深安全专家直言不讳:”现在调用第三方有时候更好。”深信服明确表态,32B以上的模型不再进行专项微调,直接采用开源基座;长亭科技的战略边界划得很清楚——只做小模型和中模型,绝不碰100B以上的庞然大物;而360则把14B的自训模型留给精度最敏感的场景,其余通用任务,全部转向开源生态。
这不是一次集体的”认怂”,更不是对大模型技术的否定。恰恰相反,这是中国网络安全厂商在经历了一轮又一轮真金白银的投入与试错之后,得出的一个清醒结论:安全垂域大模型微调的边际收益,正在快速递减。 当千问、DeepSeek系列等开源基座模型的通用能力,已经足以覆盖绝大多数安全场景时,再去执着地堆砌参数、反复打磨一个”更大更聪明”的模型,投入产出比已经划不来了。
这场转向的背后,藏着一个更深层的命题:在网络安全这样一个高敏感、高实时、高合规的领域,真正决定胜负的,从来都不是模型本身有多”聪明”,而是这份”聪明”能不能被工程化地、稳定地、低成本地交付到每一次告警研判、每一次流量分析、每一次攻防对抗之中。
二、边际收益递减的真相:不是模型不行,而是赛道变了
要理解这场转变,我们得先弄明白一个问题:为什么通用大模型的提升曲线,在安全垂域会变得如此平缓?
答案藏在安全这门学科的特殊性里。通用大模型是在海量互联网语料上预训练出来的,它见过维基百科,见过新闻,见过代码仓库,但它未必见过某次APT攻击的完整攻击链,未必理解某个0day漏洞的利用细节,更未必清楚某条供应链投毒事件中,恶意代码是如何一步步渗透进开发流水线的。这些知识太”窄”、太”专”,也太敏感,无法在公开互联网上大规模获取。
于是厂商们曾经的逻辑是:既然通用模型不懂,那我们就用安全数据去微调它,参数规模越大,吸收知识的”容量”应该越大,效果自然越好。
但现实给出了一记温和却坚定的耳光——当模型参数从几B涨到几十B、上百B,专项微调带来的精度提升曲线,逐渐从陡峭走向平缓,甚至出现边际递减。换句话说,你投入十倍的算力和标注成本,换来的可能只是百分之一二的精度提升。而与此同时,更大的模型意味着更高的推理成本、更长的响应延迟——而在安全场景里,延迟本身就是风险。
启明星辰的那句”现在调用第三方有时候更好”,背后其实是一笔精明的账:与其自己耗费巨资微调一个笨重的大模型,不如用开源基座的通用能力打底,再叠加少量高质量的领域语料,性价比反而更高。这不是技术上的妥协,而是一种基于投入产出比的理性回归。
三、真正的护城河:语料、数据与工具链的”三重壁垒”
如果说”模型竞赛”的年代,比拼的是谁能砸出更大的参数规模,那么进入”工程化竞赛”的年代,真正的壁垒已经悄然转移到了另外三个维度——语料生产平台的质量、数据底座的规模,以及工具链的MCP化程度。
语料:十五年安全运营沉淀出的”暗知识”
深信服十五年的安全运营积累,是一个外人很难复制的壁垒。这并不是说他们手里攥着一堆陈旧的日志文件,而是经过多模态标注、时序分析、上下文关联之后,沉淀出来的一整套高质量垂域语料体系。
这种语料的价值在于,它教会模型的不是”安全知识点”,而是”安全的判断逻辑”——一次看似平常的登录行为,结合时间、地点、历史轨迹、关联资产之后,为什么会被判定为异常?一段流量在孤立来看毫无问题,但放在攻击链的上下文中,为什么就成了入侵的关键一环?这些”暗知识”,开源基座模型从互联网上是学不到的,唯有靠日复一日的攻防实战才能积累。开源基座再强,没有这层语料的滋养,顶多算是”会背安全教科书”,离”懂安全”还差着十万八千里。
数据底座:百PB级数据筑起的”数字护城河”
如果说语料是”质”的壁垒,那么360百PB级的安全数据,就是”量”的壁垒。这个数字背后,是过去十年间持续不断的攻防对抗、漏洞分析、态势感知所积累下来的海量安全事件、流量记录、终端行为数据。
这是任何一家初创公司、甚至任何一个开源社区都无法在短期内复制的资源。即便开源基座模型的通用能力再强大,面对这样规模的垂域数据底座时,依然显得”势单力薄”。中国网络安全厂商没有把宝贵的资源浪费在追求”更大模型”这件事上,而是把数据底座做深做透——这才是为垂域场景下精准推理提供源头活水的关键所在。
工具链:MCP化打通的”最后一公里”
第三重壁垒,是工具链的MCP化程度。所谓MCP,代表着把模型推理、威胁检测、告警研判等核心能力封装成标准化、易调用的接口。360、深信服等厂商已经率先推进这一进程——把复杂的AI能力,包装成可以快速接入SOC系统、对接XDR平台的标准化模块。
这件事看似”不性感”,却极大地降低了集成门槛、提升了交付效率。客户不再需要为每一家厂商单独适配一套复杂的对接方案,厂商也不必从零开始重复造轮子。MCP化,本质上是把AI能力从”实验室里的炫技”,变成了”流水线上的标准件”——这正是工程化竞赛中最朴素也最关键的一环。
语料的深度、数据的广度、工具链的敏捷度,三者层层叠加,共同构成了中国网络安全厂商在AI时代真正的核心竞争力。这种竞争力,比任何一份参数规模的榜单都更难被复制,也更经得起时间的考验。
四、小模型不是将就,而是刚需:一场关于”分层架构”的智慧
提到AI,很多人下意识地觉得”越大越好”。但在威胁检测这个最核心的实战场景中,0.1B到0.85B参数级别的小模型,恰恰不是”退而求其次”的将就选择,而是不折不扣的技术刚需。
原因很直接:实时流量分析、终端检测这类场景,对延迟和吞吐量的要求是毫秒级、数万QPS级别的。而一个70B参数的大模型,即便经过深度优化的推理引擎加持,也很难在毫秒级别内完成一次推理,更遑论支撑企业级的并发吞吐量。在安全的世界里,任何一丝延迟,都可能意味着威胁的逃逸、数据的泄露,甚至是关键资产的实质性损失。
正因如此,无论是大厂还是创业公司,行业里正在形成一种共识——构建”分层模型架构”:小模型负责实时检测,中等模型负责告警研判,大模型负责交互分析。
这套架构的精妙之处在于,它把不同模型的特长,精准地匹配到了不同的场景需求上。小模型保留了低延迟、高吞吐的天然优势,再通过知识蒸馏等技术,吸收大模型的部分能力,做到”麻雀虽小,五脏俱全”;中等模型承担起告警研判这类需要一定推理深度、但又不能过分牺牲速度的中间环节;而大模型,则被留给那些真正需要长上下文理解、深度知识问答、复杂威胁研判的交互场景——发挥它”博学且善于推理”的特长。
长亭科技、360等厂商的实践,正是这一理念的生动注脚。站在中国网络安全厂商的视角来看,这种分层架构绝非妥协,而是对安全场景近乎苛刻的尊重——因为在这里,毫秒级的响应速度,本身就是安全防线的一部分。厂商们不再追求打造一个”全能型”的超级模型,而是把AI当作一把”手术刀”,根据不同场景的需要,配置不同长度、不同锋度的刀刃。小模型的敏捷、中模型的精准、大模型的深邃,三者协同作战,共同织就一张更智能、更可靠的安全防护网。
五、未来已来:三个趋势勾勒中国安全AI的新图景
回望这场从”模型竞赛”到”工程化竞赛”的转身,我们或许可以更清晰地看到中国网络安全厂商AI化道路的未来轮廓——三个趋势正在愈发清晰地浮现。
其一,是分层架构的全面普及。 小模型常驻实时层,中等模型坐镇分析层,大模型坐镇交互层,三者共同组成一个完整的”安全AI中台”,成为厂商产品体系的标配底座。
其二,是语料与数据底座的持续深耕。 十五年的运营积累、百PB级的数据规模,将被越来越多的厂商视为不可复制的”数字护城河”,进而推动行业内更多精品垂域语料库的诞生。这是一场比拼耐心与积累的长跑,也是中国网络安全厂商最擅长的”硬功夫”。
其三,是工具链的标准化与MCP化加速。 API化、接口标准化将成为厂商交付能力的基本素养,推动整个安全生态的协同与繁荣,让AI能力的流转和复用变得前所未有的顺畅。
这三个趋势的背后,折射出的是中国网络安全厂商对AI本质的深刻理解——AI从来不是一把”万能钥匙”,而是一把帮助我们解锁安全世界新规律的精密工具。在这个过程中,厂商们始终坚守”安全第一”的底线:既积极拥抱AI带来的效率跃迁,也时刻警醒着数据合规、隐私保护与伦理责任的红线不可逾越。
结语:工程化,是写给中国安全AI的下一段序章
安全垂域大模型微调的边际收益递减,绝不是一个令人沮丧的信号,恰恰相反,它是中国网络安全厂商走向技术成熟的一枚勋章。它告诉我们,在AI浪潮汹涌的今天,真正的护城河,从来不是冷冰冰的参数数字,而是语料的厚度、数据的广度,以及工具链的灵活度——这三重壁垒的层层叠加,正在为中国网络安全厂商在垂域AI赛道上,铺就一条坚实而长远的领跑之路。
我们有理由相信,那些坚持分层架构、深耕语料与数据、积极推动工具链标准化的厂商,终将在威胁检测、态势感知、攻防对抗等核心战场上,持续引领行业的方向。他们用扎实的工程化能力,让AI真正融入安全的血脉——更智能、更迅捷、更可靠,也为整个数字经济筑起一道坚不可摧的防线。
在这个AI与安全深度交融的时代,中国网络安全厂商的每一次理性选择,都是对脚下这片数字疆土最深情的守护。让我们共同见证,工程化能力如何转化为真正的核心竞争力,让AI成为护佑国家网络安全、守护人民数字生活的中坚力量。
相关阅读
重磅发布 | 安全牛《AI大模型安全评估与防护技术应用指南》
失控的”数字雇佣兵”:当AI智能体扛着100Gbps”大炮”打蚊子,谁来买单?
AI 代理化浪潮来袭:信任边界从 “围墙” 到 “信用护照”——2026 网络安全新范式
联系我们
合作电话:18610811242
合作微信:aqniu001
联系邮箱:[email protected]
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全牛 《当大模型不再是唯一答案:中国网络安全厂商的AI化突围之路》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论