文章总结： 文档分析了AISOC赛道的演进，指出第一代工具因摘要价值低、成本高及缺乏可操作性而面临挑战。第二代工具如Mate通过持续学习和上下文副驾驶体验，实现了并行调查与代理微调，解决了传统SOAR加AI的痛点。这种AI原生设计显著提升了安全运营的速度与精确性，建议采用具备组织上下文能力的解决方案。 综合评分： 92 文章分类： AI安全,安全运营,安全工具

新兴赛道 AI SOC 的演进｜展望 2026 系列

原创

JAMES BERTHOTY

安全喵喵站

2026年1月5日 08:31 广东

作为新兴赛道，AI SOC 褒贬不一，并在过去一年经历了剧变。

一方面，像大多数 AI 工具一样，当它奏效时，体验堪称“魔法”，能交付独特的洞察和自动化。

但另一方面，这些工具也常带来即时摩擦，它们将安全分析师引入错误路径，同时以低效的查询推高成本。

本文将探讨第一波 AI SOC 工具所伴随的挑战，以及第二波 AI SOC 工具如何通过提供**更具 AI 原生（AI Native）**的用户体验来解决这些问题。我认为，这种转变后的用户体验，能让我们更接近对 AI 的预期产出。

附注：存在第三种 AI SOC 工具，其功能更偏向于一个完整的数据平台，例如 Exaforce 和 AI Strike。本文不会将它们作为主题，因为供应商数量少得多，并且其使用场景更为稳健。

AI SOC 工具的挑战

成为新赛道的先行者总是充满挑战。第一代 AI SOC 工具在将 LLM（大型语言模型）应用于 SOC 工作流时，暴露了一些初期挑战：

• 摘要未能给初始警报增加额外价值。
• 执行的数据富集操作，在 SIEM 中原生进行成本更低。
• 过度依赖冗长摘要，而非可执行的指导。
• 通过未优化的查询推高了工具成本。
• 需要手动构建和维护准确的知识库。

这些工具的大胆实验性投入值得称赞，但这些投入常常未能奏效，因为它们过于像 SOAR 平台，而未能提供真正的副驾驶（Copilot）体验。在最糟糕的情况下，这些摘要只是提供了额外的抽象层，而分析师最终仍需要手动点击警报详情。例如，在我使用过的工具中，我经常发现自己不得不查看 JSON 响应本身，而不是信任其 AI 摘要。

许多第一代 AI SOC 平台最终都与传统的 SOAR 平台紧密相关，被用于特定的富集或自动化。领先的 SOAR 提供商如 Tines 和 Torq 能够迅速将 AI 整合到他们的工具中，进一步稀释了 AI SOC 的差异化。

这些工具在其最佳状态下，可以获取独特的洞察，关联分析师可能遗漏的数据；但在其最差状态下，它们可能会围绕无意义的信息进行徒劳调查，同时推高成本，比如试图查询一个 localhost 域名的 IP 滥用状态。

新一代 AI SOC 工具的不同之处

第二代 AI SOC 工具展现了未来 AI SOC 工作流的一瞥，它们更像是具备上下文的副驾驶（Contextual Copilots），而非“SOAR + AI”的组合体。这些 SOC 副驾驶是首批提供“面向 SOC 的 Claude Code”体验的工具，而不是那种“这里有一些我们生成的文本，可能有用”的体验。

这些工具的根本性特征正在使其脱颖而出并走向成功：

1.代表安全分析师执行调查和响应行动。

2.与分析师并行调查，而非试图在最后提供一个完整摘要。

3.持续学习和应用组织上下文。

4.让分析师在工作流发生时拥有完全控制权。

5.对代理（Agents）进行微调以实现自主行动。

这一新类别中的领军工具是 Mate 和 Legion，我最近深入了解了 Mate，因此本文将侧重于其方法论，以展示这一代新工具的差异化优势。

第一大差异点：持续学习

以我在 MDR（托管检测与响应）提供商工作的经验来看，映射组织上下文是安全运营中最大的挑战之一。需要不断更新来追踪谁负责某个警报、哪些常见警报出现过，以及在不同情况下应该做什么。举例来说，想象一下你的某个客户在不同环境中使用不同的 DNS 解析器，这给让分析师保持更新带来了多么令人头疼的问题！在 AI SOC 的背景下，持续学习以两种形式来应对这些难题：构建组织知识库，以及**微调不同的代理（Agents）**使其擅长各种任务。

在构建组织知识库方面，基础版本一直是创建供代理在决定警报前可以查阅的文本库。问题是，这些信息进入上下文窗口太迟了——此时代理已经做出了好几个决策。

Mate 等解决方案则改为跨越您的工具进行集成，自动构建代理稍后需要的上下文，无论是资产所有权信息还是关于您环境的信息。Mate 的集成方法让我印象深刻的是，它通过用户账户来查找数据，而不是依赖一系列定制化的集成。

持续调整这些工具以适应您环境的另一个方面是：能够配置代理（Agents）以创造更优结果。许多 AI SOC 工具结果平庸，因为它们的上下文窗口被无用的信息过度膨胀。Mate 提供了创建和管理自定义代理的能力，为它们提供相关的工具和知识库。这感觉更像是下一代 SOAR——调整代理行为，而非 API。

Mate 是我在这类工具中见到的第一个具备大规模推广自动化所需的定制化程度的平台。

第二大差异点：副驾驶用户体验

第一波工具经历的第二个主要方面是缺乏副驾驶体验，并引入了一种仪表盘式的体验。不幸的是，大多数早期的 AI SOC 工具最终都以这种体验收场，提供了又一个警报板。或者正如我总是亲切地称呼许多工具的那样——您 SIEM 的 SIEM。

来自 Mate 等第二波工具的另一个差异化优势，是专注于协助调查的用户体验：它不只是总结发生了什么，而是在整个过程中给你提供真正有用的信息片段。**我忍不住将此与几代 AI 编程工具进行比较——从在 ChatGPT 中复制粘贴代码，到使用 Claude Code 或 Cursor 等工具与 AI 协同工作以达成最终结果。

这种用户体验的转变，终于让我对整个赛道敞开了大门——不再期望 AI 完美无缺，而是构建一个始终有用的用户体验。这种价值首先体现在调查中，然后是获取额外数据来富集事件。目前最有帮助的自动化，是发送 Slack 消息来确认诸如不可能旅行等常见的异常安全警报。

像编程助手一样，用户界面/用户体验（UI/UX）也会随用户推进到修复行动——允许您基于最有利的方案采取多种行动。**显然，将这些操作转移到浏览器中是非常有益的，因为团队可以根据特定警报采取更灵活的行动，而不是依赖于关于“该做什么”的笼统摘要。

结论

总而言之，我对 AI SOC 工具在吸取第一波工具处理“SOAR + AI”挑战的经验后，在开发这些更像副驾驶的体验方面所取得的进展感到兴奋。我期待在获得更多实操经验后分享关于这些 AI SOC 工具的更多见解，但到目前为止我所看到的一切都非常有前景，它们为分析师提供了更高的速度和精确性，而不是试图彻底取代他们。

原文链接：

https://pulse.latio.tech/p/emerging-categories-the-evolution

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 JAMES BERTHOTY《新兴赛道 AI SOC 的演进｜展望 2026 系列》