唯有让 AI 深度理解 “攻击手法 - 防御弱点 - 业务影响” 的关联逻辑，才能打破 “人力依赖、响应滞后、知识碎片化” 的防御困局。

从AlphaGo的算法突破，到ChatGPT的自然语言理解革命，人工智能正以指数级速度重构产业逻辑。

然而，在网络安全这一高度专业的领域，通用大模型的落地困境日益凸显。碎片化的安全知识体系，强时序依赖的攻防链条，对结果精度与操作容错率具有严苛要求的应急响应场景，与通用模型“概率生成”的底层逻辑形成天然矛盾。其泛化时的“力不从心”已成为普遍痛点，安全领域亟需具备原生安全思维的智能。这也是“Sec Intelligence”（安全智能）的核心命题。

“预训练垂类模型才是通向安全智能的路线图，基于通用模型无法通向真正的 Security Intelligence。”6月11日，斗象科技CTO徐钟豪在2025火山引擎FORCE原动力大会中说。

01

通用大模型的逻辑缺位与实战瓶颈

徐钟豪的观点非常明确，网络安全核心场景中的任务，天然具有“强时序、强结构、强因果性”三大特征，这与通用大模型以概率生成为主的语义驱动机制形成天然错位。

然而，当前的通用大模型虽具备海量的知识储备，却普遍缺乏这种“安全思维模式DNA”，即对安全领域特有逻辑链的原生理解能力。

这种能力的缺失是导致通用模型在安全场景中常出现理解偏差，甚至“答非所问”的根本原因。这就好比让一个博学但未经军事训练的学者去指挥一场现代战争，即便知识渊博，也难以应对。

02

原生预训练之路

打造安全垂类大模型

“构建安全垂类基础模型没有捷径，需要科研耐心与工程深度的双重投入。” 徐钟豪在火山引擎 FORCE 大会中强调。走向安全垂类大模型，是一条注定“不走捷径”的技术攻坚之路，它不只是挑战模型构建能力，考验对数据、算法、算力的投入，更检验团队对安全知识结构的理解深度与工程落地的持久耐心。

开发出安全垂直基础模型的过程绝非简单的“数据堆砌”就可以达成，要从数据、技术、场景三个维度“深度求索”。

一是数据筑基，建设大规模、高质量、精加工的安全知识库。

这里的数据必须构建包含漏洞挖掘、安全事件响应、处置剧本等技术文献，构建长思维链，以及高质量的测评 benchmark 数据集。而非碎片化的文本堆砌，才能为模型提供 “安全思维” 的健康养料。

二是技术重塑，训练模型掌握“安全思维范式”。

需借助增量预训练、指令微调、奖励建模等技术手段，引导原生模型“重新学习”，从底层建立起对漏洞信息、攻防行为、安全运营流程的“原生理解能力”。目标是让模型掌握安全分析、推理、决策的特定模式与规范，确保其输出符合安全专家的思维逻辑与行业标准。例如，当模型看到“登录失败和文件异常访问”时，能立即关联识别这是“暴力破解后横向移动”的典型特征，而非将其视为孤立事件。

三是场景落地，实现从算法能力到安全生产力的转化。

在拥有“懂安全”的核心算法能力后，还需结合Agent工程能力，如 RAG、知识图谱、MCP工具集成等，将模型能力场景化、结构化，应用于日志分析、攻击链还原、防护规则生成、处置建议生成等具体任务。通过这种工程化微调和任务编排，模型才能真正落地于安全运营、威胁检测、自动响应等核心业务场景，提供实战价值。

03

从“通用大模型”到“安全垂类模型”是行业共识

斗象科技徐钟豪始终坚持的观点是：安全行业呼唤的不是“大模型”，而是“懂安全的大模型”。

这一判断也是全球安全巨头的共识。在今年的 RSAC 2025峰会上，Cisco首席产品官 Jeetu Patel 直指当前网络安全行业面临 “技能短缺、告警疲劳、安全复杂性” 三大挑战，并明确提出应对之策：不仅需要通用生成式AI，更需要安全垂域大语言模型。微软、Google、Meta 等科技巨头已纷纷积极布局垂类模型。

如果将通用模型比作全科医生，垂类模型则更像是专攻病毒学的免疫专家。当攻击者已进化出 “供应链投毒 + 深度伪造攻击 + 多态载荷对抗” 的复杂 AI 自动化攻击链，唯有让 AI 深度理解 “攻击手法 - 防御弱点 - 业务影响” 的关联逻辑，才能打破 “人力依赖、响应滞后、知识碎片化” 的防御困局。