文章总结： 本文剖析了威胁检测领域AI应用的三大泡沫：忽视底层防御建设而过度推崇AI导致成本高昂与外强中干；误报率居高不下引发运营灾难及警报疲劳；盲目追求技术新颖性而忽略成本与适配度。作者强调需回归防御本质，在控制成本前提下利用LLM等新技术解决传统路径难题，而非单纯蹭热点。 综合评分： 86 文章分类： 安全运营,AI安全,安全建设

剥离威胁检测的AI“泡沫”

原创

jishuzhain jishuzhain

OnionSec

2026年1月30日 16:28 广东

我有资格写一点自己对于威胁检测领域涉及AI赋能的看法，主要是源于最近三年在威胁检测方向的接触与思考。

首先抛出文章的主旨或者说是“结论”，AI在威胁检测方向的应用多数是泡沫，更多时候是为了硬蹭AI这棵大树而选择的结果，比如竞争对手的公司有推出类似产品，而作为竞争者无形中也需要“拥有”，至于效果好不好，因为有盲区所以很难得到真实的能力结果，技术差短时间不影响营业额。比如决定你的威胁检测系统的AI检测赋能有没有价值的人往往不是最早真实遇到痛点的客户，而是所在组织的更高层级的管理人群，唬弄得过去就认可价值满满，呈现的方案与效果未能满意就继续修改尝试，不在乎能不能落地，人满意就行。

虽然有这类普遍现象的发生，但肯定有达成平衡的AI检测应用在落地与解决现实里真实的痛点，网络安全行业是个特殊的行业，软件产品开发完成后基本上长时间不需要投入大量的维护，当时当下就已经解决了需要解决的问题，如果不能解决问题那么该软件产品就不会存在。而网络安全领域就不同了，需要持续变化，这是比较头疼的事情，能力不进步或者不迭代就等于没有能力，就比如5年前离线的网络安全产品现在还能使用吗？目前仅有少部分方向或者任务在拥有AI技术或思想加持的情况下，与以往的路径或者成本以及效果相比得到了飞跃，但远远还没有达到质的飞跃，如果说已经有质的飞跃与苗头，那么当前只能将其归功于大型语言模型（LLMs）的进步，在数据文本理解层面，比之前的威胁检测（传统AI或新型AI算法）更胜一筹，这是有目共睹的，完全经得起考验，并不是一篇外发的宣传文章或者市场营销的PPT材料所能伪造的。

市场的残酷在于成本，例如人的时间以及劳动力的投入，每一种因素或者要素都是成本与投入的数学公式，这个公式玩明白了就能活下来。虽然大型语言模型（LLMs）的任务理解能力已经接近于接受过特定技能训练的人员面对的特定任务时所需的知识汇总与信息决策能力，但是经济账是一定要算的。威胁检测领域如果采用大型语言模型（LLMs）的成本超过了原本的人力投入但收获的效果却又与传统路径所达成的效果并没有拉开很明显的差距，此时还能高呼这是颠覆网络安全行业的威胁检测范式吗？答案肯定是不会，它现阶段也仅仅是满足特定要求的前提下去解决已经在用传统方法解决的“旧问题”而已，抛开成本谈贡献是耍流氓。

这里的旧问题指的是经常在社会活动中出现的承载数字资产的机器被入侵事件或者是被破坏影响完整性的事件，这里传统路径与新型技术的贡献占比肯定不是55开的局面，甚至于大部分问题都已经由传统路径解决了，而极少部分难题可以由新型技术解决。那些传统路径解决起来比较麻烦或者成本投入很大的难题，由新型AI技术解决了才是值得肯定的应用。

所以这里的结论是如果传统路径都没有解决好的旧问题，妄想依赖新型AI技术（例如大型语言模型）来彻底解决大概率是痴人说梦，一方面是经济账一算下来还比当初方案更贵，另一方面购买产品或者服务的客户满心欢喜使用了厂商新型的产品，据说效果惊人，实际使用下来该漏的漏，原本传统路径可防御的问题在新型产品上竟然无效了，即使是偶然发现新型攻击被防御，整体而言，使用起来依然是胆战心惊，保不齐哪天就露馅了，这是不注意建设底层稳健防御系统层的后果，企图依赖于新型技术解决旧问题做到一鸣惊人，而实质是类似于竹子外强中干，脆弱问题得不到解决。

过度的捧高新型AI技术在威胁检测领域的地位与作用，直接忽视了强大且稳健的威胁检测防御系统是依赖多层或者多级别防御的，强调的是协同作战，单兵作战已经被现实的网络安全威胁证明了无疑是痴人说梦。因此基础不牢地动山摇，忽视的后果无疑是浮沙筑高台，这是想要表达的第一个在威胁检测内的AI“泡沫”。

第二个在威胁检测内的AI“泡沫”是误报率，如果一款威胁检测系统（AI赋能）真正在现实里发生的误报率没法足够低，例如病毒查杀需要低于万分之一的误报率（看组织对误报的容忍程度），而网络流量检测时的误报率则要更低。误报率不达标随之而来的就是运营灾难，每天一上班打开威胁检测页面，发现一大堆的告警信息，此时你慌了，所在的公司被入侵也表明自己的工作（饭碗）不保了。内心慌得一批，但其实绝大部分都是误报，持续对工作充满责任心一个个处理告警信息花去了大半天时间，最终还是放弃了，牛逼的甲方企业可以摇来乙方技术支持屁颠屁颠解决售后问题，而一般的企业只能认倒霉了，默想着现在买个安全产品即使放着心里也安心吧。威胁防御的本质是让企业更专心提高生产，相反成本比以前投入更大了。最终又变成了人海战术处理的信息灾难，旧威胁持续泛滥的情况下继续开发新服务售卖给客户，打着高级的标签，让人一看自己现在拥有的安全产品好像比较low，确实差那么点意思呀。内心里憧憬着好像一旦购买了该服务，以后威胁防御就不用自己犯愁了吧，美滋滋。不管是什么目的需要建设威胁防御体系或者系统，最重要的一点凡是抛开误报率谈效果的威胁检测（AI赋能）都是耍流氓，谁用谁难受。

第三个在威胁检测内的AI“泡沫”是新的技术一定是最好的，而旧技术是必然需要抛弃的，我们要做独一无二的，“创新”的事情，别人有的我嗤之以鼻，我做别人没有的才能新开出一条路。我对此不予置评，我的观点依然还是在现阶段的条件下，成本与资源配比的条件下能选择的技术就是最好的，能真正解决问题并达到最大确定性程度的才是最合适的。原本就是解决问题作为核心指导思想的路径，却把新的、创新常常放在第一位，一味地强调某个对象意味着本身极度缺乏这个对象。这个现象的本质是什么？行业上升期的投机取巧在以前被证明可以容易获利而已，一招鲜吃遍天的下行期也总有一天吃不动了，这类变化往往需要10年左右的窗口。新型AI技术是如何来的？是解决它们那个具体难题而发展出来的，当这类技术一出现就表明当前那个方向的最难的难题已经有了新的解法，至于能不能更好更合适地解决其余行业的难题需要细致分解问题并开始实验，投机取巧或者说技术投机分子只有极少数能真正吃到红利，大部分都被追赶趋势或者不关注核心问题本质的发展所淘汰了。

有感写点碎碎语

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《剥离威胁检测的AI“泡沫”》