随着大型语言模型（LLM）的迅速发展，被动AI时代即将终结，主动型AI系统（agentic AI）正逐步崭露头角。这种新形式的AI不仅能够响应指令，还能够自主思考、规划和采取行动。在网络安全领域，agentic AI系统为自动化冗长、繁琐的任务带来了巨大潜力，从而解放安全分析师的时间，使他们能够专注于更高层次的决策和深度调查。 传统的网络安全AI应用主要集中在检测恶意或异常活动上。尽管这些系统在识别威胁方面已经取得了一定成就，但大量安全操作仍依赖于人工完成。例如，分析师需要手动调查警报、交叉引用情报以及评估并响应潜在威胁。现在，agentic AI系统可以通过高级推理、动态决策和工具调用能力，接手这些复杂但重复的任务，如威胁情报研究、安全警报关联和初步响应行动。 智能警报管理 在网络安全中，警报管理面临多个挑战，包括大规模的警报分类、对个人专业技能的依赖以及从不同数据源获取调查上下文。agentic系统通过自动化警报分类、编码专家知识到可重复工作流程以及自动收集和分析数据，解决了这些问题。具体来说，当云监控平台生成新的警报时，系统会触发警报分类代理（见架构图1），该代理首先解读警报，然后提出并执行下一步的最佳操作，直至找到根本原因。完成后，代理会生成一份包含警报概要、调查步骤、关键数据见解和建议措施的分类报告，供安全分析师审查。 多代理协作 为了提高警报分类的智能化水平，系统采用了多代理架构，每个代理专注于警报分类的不同环节。核心代理负责解读警报、引导调查和撰写最终报告，而支持代理（如云计算指标分析代理）则根据提供的警报上下文查询相关云计算指标，并返回结构化的分析结果。这种清晰分工提高了系统的模块化程度，简化了维护过程，有利于系统长期发展。 企业级漏洞分析 软件漏洞分析同样是耗时耗力的关键任务。企业软件容器通常具有复杂的依赖关系，发布前需要进行全面的漏洞扫描和分类。传统方法可能需要数小时甚至数天的时间来完成单个漏洞的分类，而agentic系统可以在几秒钟内完成这一过程。给定特定容器的漏洞ID后，agent会搜索互联网获取更广泛的漏洞信息，制定自定义调查计划，并通过现有数据源进行深入分析，最后生成一份帮助分析师判断漏洞是否可利用的报告。 实际应用与效果 NVIDIA 的实际应用 NVIDIA 利用开源的NVIDIA Agent Intelligence工具包开发了智能警报管理和漏洞分析系统。这些工具包支持配置驱动的快速开发，并通过标准化接口和可复用组件简化企业需求实现。NVIDIA 已经大规模部署了这些系统，估计每个漏洞的分析时间由原来的20分钟减少到3分钟，节省了每位分析师每周数小时的工作时间，提升了整体效率。 性能优化与持续改进 为了确保系统的准确性和效率，NVIDIA 引入了专门的注释工具和性能分析功能。注释工具帮助安全分析师审查代理输出，标记错误并提供纠正，从而不断改进模型性能。性能分析功能则记录了各种调用的时间消耗和模式，使得优化瓶颈变得更加简单。通过这种方式，系统实现了1.3倍至8.3倍的性能提升。 架构选择的重要性 设计agentic系统时，选择合适的架构至关重要。对于单一警报类型和明确的调查流程，固定执行路径是最简单的解决方案。对于多种警报类型的处理，可以引入路由器来分配不同的路径。当任务逻辑不固定时，动态选择代理能够灵活应对，但可能会增加令牌使用量和延迟。混合架构常常是最佳选择，其特点在于固定部分和动态部分相结合，既保证了稳定性又提供了必要的灵活性。 未来展望 agentic AI系统在警报管理和漏洞分析中的应用仅是开始。未来，随着技术的进一步成熟，这些系统有望成为安全分析师的得力助手，自动处理繁重任务，连接数据点，提升安全操作的整体效率。行业期待看到更多创新和有影响力的网络安全应用案例。 业内人士评价与公司背景： 业内专家认为，NVIDIA 在agentic AI领域的探索为网络安全行业带来了新的思路。通过将AI与人类专业知识结合，NVIDIA 的系统显著提高了效率，减少了人为失误。作为全球领先的计算技术公司，NVIDIA 一向在高性能计算和人工智能领域处于前沿，其在网络安全方面的创新也体现了这一点。