返回
快讯

仅10% SOC称AI价值极高

SOC-CMM 2026报告显示,约71%的SOC对AI只看到部分或没有价值,仅约10%认为价值极高。问题不在采购不足,而在把AI当作单点功能嵌入碎片化架构。报告建议让AI贯穿威胁情报、检测、调查与修复全流程,并纳入可审计治理与机构知识。

十八个月前,AI SOC 还只是一个营销说法。如今它已经成了预算项目。这一类别已从“有趣”变成“不可避免”,数十亿美元正流入 AI-powered security operations platforms、agentic SOC tools,以及嵌入安全技术栈每一层的 AI co-pilots。数据显示,SOC 正以前所未有的速度采购、部署并建立 AI 能力。

然而,同样在报告 AI 采用创纪录的 SOC,也在报告平平无奇的结果。关于 SOC 中 AI 价值的首个客观基准,发布于 5 月的 SOC-CMM 2026 Maturity Report,依据的是 2026 年 1 月下旬至 3 月中旬期间,来自不同地区、行业和交付模式的大约 200 个 SOC 的调查数据。只有约 10% 的受访者表示 AI 为其 SOC 带来了 excellent value。约 19% 表示价值良好。其余 71% 则认为只有一些价值,或者根本没有价值。

在 AI 部署 18 个月后,这就是一个结构性信号。下面是对数据所确认内容的解读,以及如果行业要缩小差距,下一波安全运营 AI 必须交付什么。

SOC-CMM 2026 数据显示了什么

SOC-CMM 报告的 AI 部分有三项突出发现,而且把它们放在一起读时,相互之间的对应关系非常清晰。

第一,SOC 内使用的每一类 AI,采用率都在上升。现成的大型语言模型同比增长 55%。AI co-pilots 增长 145%。AI agents 增长 118%。监督式机器学习增长 96%。定制化 LLMs 增长 64%。SOC 团队在没有相应运营成熟度的情况下过度投资 AI,无法从所购产品中提取价值。

第二,占主导地位的采用模式是报告中所称的 taker model:把现成 AI 部署到现有安全技术栈中,不做定制。调查中约 65% 的 SOC 将自己描述为 takers。另有 20% 是 shapers,会对所购产品进行定制。只有 15% 是 builders,会用自己的数据训练模型。takers 是最大群体,也是报告价值最少的群体。在 hybrid SOCs、in-house SOCs 和 MSSP SOCs 中,感知价值分布几乎完全一致。这个一致性说明了问题。该模式跨越交付模式、地区和行业,原因是结构性的。

第三,报告指出,按年增长的两个 SOC 改进挑战分别是缺乏 best practices(+17%)和提高成熟度的复杂性(+11%)。其他所有挑战类别,包括缺乏预算和缺乏管理层支持,都下降了。SOC 并没有告诉调查说自己没钱或没有高层支持;他们是在告诉调查,他们不知道自己该如何使用已经买来的 AI。这就是 AI maturity gap 的一个数据点。

为什么第一波 SOC AI 表现不佳

第一波 AI SOC tools 作为附加在现有安全产品上的功能交付。SIEM 增加了 AI triage。EDR 增加了 AI investigation。SOAR platforms 增加了 AI playbook generation。Ticketing tools 增加了 AI summarization。每个功能都是真实的。每个功能在孤立状态下都能工作。但它们彼此之间不共享上下文。

在实践中,这意味着 SOC 分析师现在拥有五个 AI assistants,而不是一个。SIEM 里的 triage agent 并不知道 detection engineer 上周屏蔽了什么。EDR 里的 threat hunting agent 并不知道 threat intel team 当天早上标记了什么。ticketing tool 里的 summarization agent 并不知道两步之前的 investigation 发现了什么。每个 agent 都加速了自己那一段工作流。它们都没有修复这些片段之间的交接,而这正是 SOC 大部分时间和价值所在。

业内各方在交流中都在描述这种模式。他们说,单项任务更快了,但工作流依旧碎片化。他们说,被要求学习五种新的 agent interfaces,而核心问题并没有变化:SOC 仍然是一条彼此脱节的阶段链。AI 加速了每个孤岛,却没有把它们连接起来。

SOC-CMM 2026 报告也用数据呈现了这一动态。technology domain 仍然是整个数据集里得分最高的成熟度领域,平均为 2.7/5。process domain——也就是 SOC 各阶段之间的交接所在——得分 2.3。people domain——也就是机构知识和决策能力所在——同样是 2.3。购买更多工具,包括 AI 工具,并不会改变这些数字。在一些 SOC 中,它甚至会让情况更糟,因为每一款新工具都会增加一次交接。

哪些 SOC 报告了 excellent value

报告 AI 带来 excellent value 的那 10% SOC,并不是在运行不同的 point tools。他们是在不同的架构结构中运行 AI。以下三点把他们与其余 71% 区分开来。

AI 贯穿整个 SOC lifecycle 运行,而不是只在其中某一阶段运行。threat intelligence、threat hunting、detection、investigation 和 remediation 是同一条工作流的五个阶段。当 agents 跨越这五个阶段运行并彼此传递上下文时,SOC 就会形成复利效应。每一次完成的 investigation 都会校准下一次 detection。每一次 threat hunt 的结果都会更新下一轮 intelligence。每一次 remediation 都会反馈到下一位 agent 使用的 playbook 中。这个相互连接的结构,才产生持续价值。报告 excellent value 的 SOC 往往拥有看起来像 fabric 的 AI 架构。报告 good value 的 SOC 往往只是拥有一堆功能。

AI 知道自己所处的动态环境,并持续从中获取信息。通用 AI 会产生通用的 investigations。医疗环境中的“正常”与金融科技环境中的“正常”并不相同。在一个环境中触发真实威胁的 detection rule,在另一个环境中可能会触发常规活动。在一个环境中会正确升级处理的 investigation,在另一个环境中可能会漏掉正确答案。报告有价值的 SOC 拥有能够捕捉并持续保存机构知识的 AI systems:哪些资产最重要、哪些分析师的判断塑造了过去的事件、哪些行动是被批准的、升级标准是什么、哪些 ticket 最终什么也不是、哪些 ticket 最终至关重要。没有这种基础,SOC 中的 AI 只能产出互联网平均值,而那在大多数环境里都是错误答案。

AI 是可治理的。SOC-CMM 2026 报告把有效的 SOC governance 识别为 SOC 改进中最具挑战性的单一领域,有 39% 的受访者提到它。AI governance 与 SOC governance 是重叠的。agentic SOC 运行在客户定义的 guardrails 之内。它为每个动作提供可辩护的 reasoning trace。它是分阶段获得 autonomy,而不是一开始就要求 autonomy。SOC 中的 AI 不能是黑箱。真正把这一点做对的 SOC,是那些分析师愿意信任系统、并把持续权限交给它的 SOC。正是这种信任带来了生产率提升。没有信任,系统就会停滞。

用直白的话说,架构问题是什么

如今大多数试图从 SOC 中的 AI 提取价值的企业,都是在碎片化架构里运行 point AI。point AI 在一个有缺陷的架构里运行良好。这就是架构问题。

如果一个 SOC 的 detection engineering team 使用的工具与 investigation team 不同,那么任一工具里的 AI 都只会加速该团队自己的工作片段,而对两者之间的交接毫无帮助。如果一个 SOC 的 threat hunters 不能轻松地在与 investigations 相同的 telemetry 上测试假设,那么任一工作流中的 AI 只会推进那个工作流本身。如果一个 SOC 的 remediation playbooks 存放在一个 SOAR tool 中,而该工具看不到 investigation agent 的结论,那么 AI remediation 就会基于过时上下文执行。

解决办法是把各阶段连接起来。在同一个碎片化架构里增加更多 AI,只会让原始问题叠加。所谓“second wave”,指的就是这种连接结构。第一波是在每个阶段内交付 AI。第二波是在各阶段之间交付 AI。

第二波必须是什么样子

SOC 的五个阶段必须作为一个以客户环境为基础的 agentic fabric 协同运行。每一次完成的 investigation 都会校准下一次 detection。每一次 threat hunt 的结果都会更新下一轮 intelligence。每一次 remediation 都会反馈到下一位 agent 使用的 playbook 中。SOC 形成复利。

在实践中,以这种方式构建的平台会叠加在组织已经拥有的 SIEM、EDR、identity、cloud、ticketing 和 threat intel 技术栈之上,而不是替换它们。正是这种连接层,使每个阶段能把信息传给下一个阶段,而不是孤立运行。在这种架构到位的地方,SOC 会报告:investigations 更锐利、完成更快;detections 会被 surfaced 并调优,而不是保持静默或噪声过高;threat hunts 持续运行,而不是间歇性出现;remediation 在定义好的 guardrails 内运行,并保留完整 reasoning trace 和审计级决策记录。

SOC 中第二波 AI 必须呈现架构形态,而不是功能堆砌。率先把这一点做出来的 vendors 和 platforms,才是那些能让客户在明年的基准中从“some value”走向“excellent value”的厂商。

聚焦:用于安全运营的端到端 agentic AI

围绕这种架构构建的平台之一,是 Conifers 的端到端 agentic SOC,该产品于 2026 年 5 月在其 CognitiveSOC™ platform 上发布。它不是只在单一阶段加入 AI,而是把 threat intelligence、threat hunting、detection engineering、investigation 和 remediation 连接成一个运行结构,并以每个客户的机构知识为基础。这五项功能彼此传递上下文,因此 hunts 会影响 detection,investigations 会校准未来的 detections,而 remediation 则在客户定义的 guardrails 内运行,而不是固定 playbooks。

治理从一开始就内建其中。每个 agent action 都带有 reasoning chain 和 evidence trail,客户则设定每个 agent 运行的范围与权限,并随着信心建立逐步扩大 autonomy。这就是从 human-in-the-loop 走向 human-on-the-loop 监督的转变。该系统运行在 SOC 已经拥有的技术栈之上,并提供 60 多项与 EDR、identity、cloud、email 和 ITSM 的 integrations,无需 rip-and-replace migration。

窗口正在比大多数 SOC 想象中更快关闭

对手并不会等 second wave 到来。Google 的 Threat Intelligence Group 在今年早些时候披露了首个已确认的 AI-developed zero-day exploit。Anthropic 的 Claude Mythos preview 正在以机器速度识别 critical vulnerabilities。JPMorgan 的 CISO 在 2025 年 4 月发布公开信,警告网络风险的经济学正在变化,安全采购方需要要求 secure-by-default products,而不是当前这种仓促发布功能的节奏。

那些在碎片化 SOC 中运行第一波 AI 的防守方,会是在漏洞发生后的第二天早晨解释“发生了什么”的人。那些把第二波 AI 作为连接结构来运行、防护流程中纳入机构知识,并从一开始就内建治理的防守方,才会是早已看见这一切的人。SOC-CMM 2026 报告中的 10% 这一数字,反映的是如今大多数 SOC 所采用的架构。它也在说明:在下一次 breach narrative 中,每个 SOC 会站在故事的哪一边。

请访问 Conifers.ai 申请演示,体验完整生命周期 agentic SOC 的能力。

常见问题

为什么到 2026 年,大多数 SOC 只报告了有限的 AI 价值?

SOC-CMM 2026 Maturity Report 发现,大约 71% 的 SOC 认为其 AI 部署只带来一些价值或没有价值。根本原因是架构性的,而不是技术性的。大多数 SOC 只是把 AI 作为功能,部署在 SIEM、EDR 和 ticketing systems 等单个产品里。每个功能都只加速了自己所在的工作流阶段,但没有在阶段之间共享上下文。threat intel、detection engineering、investigation 和 remediation 之间的交接,也就是 SOC 大部分时间消耗的地方,并没有改善。AI 加速了孤岛,却没有把它们连接起来。这就是为什么结果只是“some value”,而不是 excellent value。

SOC 里的“second wave AI”是什么意思?

SOC 中的 second wave AI 指的是 agentic AI,它跨越整个 SOC lifecycle 运行,而不是只停留在单一阶段。SOC 的五个阶段——threat intelligence、threat hunting、detection engineering、investigation 和 remediation——作为一个连接的 fabric 一起运行。agents 共享上下文。完成的 investigations 会校准未来的 detections。threat hunt 结果会更新 threat intel 周期。remediation 动作会反馈到下一位 agent 使用的 playbook 中。SOC 因而形成复利。这就是 SOC-CMM 2026 数据中那约 10% 报告 excellent value 的 SOC 所共有的架构模式。

问题是 SOC 买的 AI 不够多吗?

不是。SOC-CMM 2026 数据显示,AI 采用在每个类别上都在强劲增长,现成 LLMs 同比增长 55%,AI co-pilots 增长 145%,AI agents 增长 118%。SOC 确实在买。问题在于,采用速度超过了运营成熟度。约三分之二的 SOC 正在把现成 AI 部署进现有安全技术栈,却没有同步调整周边任何东西。该群体报告的价值最少。在不改变其运行架构的情况下购买更多 AI,只会叠加原始问题,而不是解决它。

机构知识如何改变 AI SOC 的结果?

通用 AI 会产生通用的 investigations。在一个环境中针对真实威胁触发的 detection rule,在另一个环境中可能会触发日常活动。在一家组织里会正确升级处理的 investigation,在另一家组织里可能会错过正确答案。能够持续摄取并保存动态机构知识的 AI systems——包括哪些资产最重要、哪些分析师的判断塑造了过去事件、哪些行动被批准、升级标准是什么、历史事件结果如何——会产出与特定 SOC 运作方式相匹配的 investigation 结果。没有这种基础的 AI,只会产出互联网平均值,而这在大多数环境里都是错误答案。机构知识是 AI 产出噪声还是产出决策之间的区别。

CISO 在购买下一款 AI SOC tool 之前,应该问什么?

有三个问题最重要。这个 AI 是跨越完整 SOC lifecycle 运行,还是只在其中某一个阶段运行?AI 如何学习并保存组织特定环境的机构知识,以及当分析师离开时这些知识会怎样?团队能否对每个 agent action 进行审计,并获得可辩护的 reasoning trace,而且能否在信任建立的过程中分阶段治理 agent autonomy?如果厂商对这三个问题都给不出清晰答案,它卖的就是第一波 AI,不管营销怎么说。

什么是 agentic SOC,它与 SOAR 或 AI co-pilot 有什么不同?

agentic SOC 是这样一类安全运营平台:AI agents 作为决策者贯穿整个 SOC lifecycle,而不是作为单个产品里的助手。SOAR 使用静态 playbooks 自动化预定义工作流。AI co-pilot 加速分析师的单项任务。agentic SOC 运行的 agents 会推理 investigations、surfacing 和 tuning detections、持续 threat hunting,并在客户定义的 guardrails 内执行 remediation,同时在各阶段之间共享上下文。分析师从每一步都处于 in the loop,转变为在系统外进行监督的 on the loop。

SOC 从第一波 AI 转向第二波 AI 能有多快?

比大多数团队想象得更快。这种转变是架构性的,不是 rip-and-replace。把 point AI 变成 agentic fabric 的连接层,并不要求购买新工具或替换现有工具。它要求把 SOC 已经拥有的东西连接成一个会产生复利的系统。多数 SOC 都低估了,一旦架构到位,这种转变可以多快完成。