文章总结： 本文借鉴历史案例探讨AI技术在企业应用中面临的生产率悖论，指出单纯技术升级而未重构工作流程是效率提升的关键障碍。以安全运营为例，说明AI应聚焦规则明确、重复性高的低认知任务以缩短决策路径，而非替代专业人员。核心观点认为企业需重新设计人机协作边界，从工具增强转向流程重构才能释放AI价值。 综合评分： 82 文章分类： 安全运营,应用安全,安全建设

以前研究工具，后来研究工作

原创

jishuzhain jishuzhain

OnionSec

2026年6月11日 00:40 广东

在小说阅读器读本章

去阅读

最近在x上看到一个有意思的帖子和话题，有人重新翻出了经济学家 Paul David 于 1990 年发表的文章《The Dynamo and the Computer》[1]，试图解释为什么大型语言模型快速发展后，很多企业却没有获得预期中的效率提升。我有兴趣想写点自己的思考与体会，分享一下。

文章研究的是电力刚进入工厂时发生的事情，按常理来说，更先进的动力系统应该立刻带来生产率提升，但真实情况却并非如此。许多工厂只是把蒸汽机换成电机，却保留了原有的组织方式、生产流程和工厂布局。直到后来围绕电力重新设计生产线和管理方式后，生产率才开始大幅增长。Paul David 认为，很多时候技术创新的速度远快于组织创新，而生产率提升往往发生在后者完成之后[1]。

今天很多企业落地 AI 时，似乎也正在经历类似阶段。原本需要人工完成的工作增加了 AI 辅助（这里不敢讨论AI编程的趋势和发展利害，这块我比较陌生），只能斗胆写一点我熟悉的安全运营领域。例如原本需要安全分析师编写的报告增加了 AI 生成，需要人工查询的信息增加了 AI 检索。这些都能带来一定收益，但更多属于工具增强，而不是流程重构。如果把流程理解为一条价值链，那么真正值得关注的问题或许不是“AI 能做什么”，而是“这项工作为什么需要人来做”。

过去几年研究威胁检测以及 ATT&CK、如今专注深入防御工程和攻击面管理时，我越来越认同一个观点，安全团队创造价值的地方，并不是产生更多信息，而是帮助组织做出更好的决策。告警是信息，检测规则是信息，威胁情报是信息，调查报告也是信息。企业最终购买的并不是这些信息本身，而是风险判断能力。从这个角度再看 AI，很多事情会变得更加清晰。

从这个视角进行推演论证再去看现在比较火热的AI编程领域尤为明显，企业并不优先看重某种编程技术或者工程方式多少先进多么前沿，而是直接基于生产率模式统计token消耗量，等到预计的实验结束，财务一核算就能得到投入产出比例，这个输出的 ROI 指标就能比较好地帮助企业实现辅助决策。

我还在深信服从事安全工作的时候做过一个简单实验，面对未知样本时，传统流程通常需要安全分析师打开 IDA，查看导入表、字符串、关键函数调用关系，再结合经验形成初步判断。这个过程并不复杂，但会消耗不少时间。后来尝试将 IDA 导出的部分静态分析结果交给大型语言模型进行归纳总结。模型当然无法代替最终研判，也无法承担风险责任，但它能够快速提取可疑行为特征、总结潜在功能、关联常见攻击技术，并生成初步分析结论，最终仍然由安全分析师完成验证与决策。

整个过程并没有减少对专业人员的需求，却明显缩短了从样本获取到形成结论之间的时间。回头看，它并没有改变分析工作的目标，却改变了达到目标的路径。过去需要安全分析师花费二十分钟完成的信息整理工作，现在可能只需要几分钟即可完成，而节省出来的时间可以投入到更复杂的判断之中（说点心里话，不绕弯子，简单重复类工作或者说杂活缠身对职业发展来说必定是有害的）。这样的价值或许没有“取代安全分析师”那么吸引眼球，却更符合企业真实的需求。

这个案例一直默默地被我放在脑中留置，这次机缘巧合阅读到那篇论文后引发触动再次让我重新思考那个核心问题，为什么很多企业引入 AI 后没有获得想象中的收益？原因或许并不是模型不够强，而是工作流程仍然按照过去的方式运行（现实复杂，这里仅仅是我的个人想法）。安全分析师依然需要手工收集上下文，人工关联资产信息，重复编写类似的调查结论，花费大量时间在低价值但不可避免的事务上。AI 如果只是嵌入到原有流程中，那么它带来的更多是局部优化；只有当流程本身围绕 AI 重新设计时，生产率提升才有可能被真正释放出来。

对于安全运营而言，这种变化可能比模型能力本身更值得关注。告警归类、上下文关联、样本初步分析、调查报告生成、知识库检索等工作都具有一个共同特点，规则相对明确、重复频率较高、需要消耗认知资源，却不一定需要最终决策权。这类工作或许比完全自动化响应更适合作为 AI 落地的第一阶段。机器负责处理信息，人负责承担责任；机器负责压缩路径，人负责做出判断。

很多时候，人们会把注意力放在模型能力上，讨论参数规模、上下文长度或者推理能力。但站在企业视角看，这些都只是手段。企业真正关心的问题始终没有变化，风险是否降低了，决策是否更快了，业务是否受到更好的保护。如果答案是否定的，那么再先进的技术也很难创造价值。

因此我越来越觉得，未来几年企业安全领域最值得研究的方向可能不是某个具体模型，也不是某个 Agent 框架，而是重新思考人与机器之间的边界。哪些工作必须由人完成，哪些工作适合交给机器完成，哪些工作原本就不应该占用人的时间。

以前研究攻击者，后来研究攻击面。现在回头看，也许还可以再补上一句，以前研究工具，后来研究工作。

研究攻击者是在理解行为，研究攻击面是在理解系统，而研究工作则是在理解价值究竟是如何被创造出来的。

技术会不断迭代，模型会越来越强，但企业创造价值的逻辑从未改变。创造价值的源头，始终来自对问题本身的理解。

问渠那得清如许，为有源头活水来。

延伸阅读

[1] Paul A. David, *The Dynamo and the Computer: An Historical Perspective on the Modern Productivity Paradox*, American Economic Review, 1990.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《以前研究工具，后来研究工作》