在多云部署成为企业数字化转型主流架构的背景下,安全运营面临着前所未有的复杂性:多厂商云环境(公有云、私有云、混合云)产生的资产、配置、漏洞、告警、风险等数据呈现出显著的多元异构特征,数据格式不统一、关联关系隐蔽、实时性要求高,传统安全运营模式难以实现高效的威胁研判与处置。 为破解这一困境,我们构建了多云AI安全运营平台,在将AI确立为安全运营平台的核心驱动力后,一个关键认知逐渐清晰:制约AI安全分析效能的核心瓶颈,并非模型本身的先进程度,而是其能否像专业安全运营专家一样,“读懂”多元异构数据的内在关联、“串联”离散的安全事件、“挖掘”隐藏的威胁线索。 安全运营的核心本质,是对各类安全数据的关联分析与逻辑推演——这些数据并非孤立存在,而是通过复杂的业务依赖、网络拓扑、攻击路径,构成一张动态演进的安全态势网络。
传统以批处理、特征工程为核心的机器学习方案,在处理此类强关联、多维度、实时变化的安全数据网络时存在天然局限:一方面,其对数据格式的强依赖性,无法适配多云场景下异构数据的多样性,导致大量有价值的安全数据无法被有效利用;另一方面,其缺乏主动的上下文关联能力,面对离散的安全告警,难以像专家一样自动关联资产属性、漏洞信息、配置变更等关联数据,往往需要人工介入进行数据补充与关联,不仅效率低下,还容易因人为疏忽遗漏关键威胁线索。更重要的是,传统方案需反复调用多个模型处理冗余数据,既造成严重的资源消耗,又导致决策延迟,无法满足多云安全运营的实时性需求。
动态上下文管理:工程化赋能AI,实现专家级研判
针对上述痛点,我们构建了核心能力——动态上下文管理。以工程化能力为核心,依托MCP、RAG等技术协议,构建的一套“数据归一化-上下文关联-大模型赋能”的完整体系。其核心目标是:通过工程化手段破解多元异构数据的整合难题,再借助大模型的上下文关联能力,让AI具备专业安全运营专家的思考与研判能力,无需人工介入即可完成数据关联、威胁挖掘与问题分析。
动态上下文管理,区别于单纯的数据通信或上下文组装,其工作流程可具体分解为三个核心环节:归一化多元异构数据→接收研判意图→动态组装关联化、结构化上下文并交付大模型,最终由AI完成专家级的分析研判。
从“数据碎片化”到“研判一体化”
1. 基于MCP/RAG协议的多元异构数据归一化
多云场景下的安全数据来自不同厂商的云平台、安全设备,数据格式、语义标准差异巨大,这是制约AI研判能力的首要障碍。动态上下文管理的核心工程化能力之一,便是依托MCP(模型上下文协议)与RAG(检索增强生成)等技术协议,实现对这些异构数据的标准化,来达到处理和利用。
这一环节的核心价值,是解决了“数据不通、语义不一”的痛点,让AI能够“看懂”所有多云场景下的安全数据,打破传统方式只能处理单一格式数据的局限,为后续的专家级研判提供高质量的数据基础。
2. 基于大模型上下文关联能力的动态上下文组装
归一化的数据只是基础,专业安全运营专家的核心能力,是能够根据具体的安全事件,自动关联所有相关的数据,形成完整的研判上下文——这也是动态上下文管理的核心优势所在,即维护上下文能力,实现关联化上下文的动态管理,如保证不失真的情况下进行上下文压缩,关联数据回归,效果优化等。
当大模型接收具体的研判意图(如“分析某台云主机的异常访问告警是否为攻击行为”)时,动态上下文管理能力会基于归一化后的结构化数据,利用大模型的上下文关联能力,自动挖掘与该研判意图高度相关的所有关联数据,并动态组装成结构化、语义丰富的完整上下文。 不同于传统的静态数据拼接,这种上下文组装具备“关联性”和“动态性” :
关联性体现在,其会像专家一样,基于研判意图进行多维度关联——例如,针对上述异常访问告警,系统会自动关联该云主机的资产属性(所有者、所属业务环境、运行的服务)、存在的未修复漏洞(归一化后的CVE信息、利用条件)、近期的配置变更记录(如访问控制策略的修改)、同一网络区域内其他资产的相关告警、该主机的历史访问基线等,形成一张完整的关联关系网;
动态性体现在,上下文会随数据的实时变化而动态更新——例如,当有新的漏洞(CVE)披露时,若该漏洞影响到研判意图中的云主机,系统会立即将该漏洞信息补充到上下文之中;若关联的资产发生配置变更,上下文也会实时更新,确保大模型的研判始终基于最新、最完整的关联数据。
3. 人机协同的高效研判与资源优化
动态上下文管理的另一核心价值,是实现了 “工程化数据处理”与“大模型智能研判”的高效协同,既解放了人工,又优化了资源消耗。
从人工解放来看,安全运营专家的核心工作,可以自动完成——无需人工手动整理异构数据,无需人工手动关联告警与漏洞、资产的关系,AI即可像专家一样,基于完整的上下文完成威胁研判,大幅降低人工运营成本,提高安全运营响应效率,同时避免人为疏忽导致的威胁遗漏。
从资源优化来看,通过“按需组装上下文”的机制,避免了传统方案中“全量数据加载”“重复模型调用”的问题,提升了研判响应速度。同时,由于交付给大模型的是已归一化、已关联的结构化上下文,大模型无需进行繁琐的数据预处理,可直接聚焦于高阶的威胁研判与逻辑推演,进一步提升了研判效率与准确性。
超越传统:动态上下文管理的核心价值体现
与传统AI安全分析架构相比,基于工程化能力构建的动态上下文管理体系,带来了质的突破,其核心价值体现在三个方面:
1. 根治数据碎片化,释放大模型研判潜能
多元异构数据的碎片化问题,导致大模型的研判能力无法充分发挥——即使模型足够先进,也只能“看得见”单一格式、单一来源的数据,无法形成完整的研判视野。动态上下文管理让大模型能够“看见”全局的安全数据,其上下文关联能力、威胁挖掘能力得到充分释放,真正发挥出大模型在复杂研判场景中的优势。区别于传统架构中“数据关联逻辑硬编码在模型或应用层”的脆弱模式,我们可灵活对接新的云平台、新的数据源,无需频繁修改代码,大幅提升了平台的扩展性与可维护性。
2. 从“静态分析”到“专家级动态推演”
传统AI安全分析多基于静态数据进行分析,无法适配安全威胁的动态演进特征,面对新型攻击、隐蔽攻击时,往往无法有效研判。例如,当一个新的漏洞(CVE)披露时,传统架构只能静态标注受影响的资产,无法关联该资产的实时告警、配置状态;而我们的动态上下文管理能力,会自动关联所有受影响的资产,再结合这些资产的实时告警、访问日志、配置变更等数据,动态推演漏洞被利用的可能性、潜在的攻击路径,以及可能造成的风险,为安全处置提供精准的研判依据,而非单纯的静态风险标注。
3. 资源效率与研判可解释性的双重提升
一方面,“按需组装上下文”的机制,避免了全量数据加载与冗余模型调用,提升了研判响应速度,能够满足多云安全运营的实时性需求;另一方面,所有交付给大模型的上下文数据,其来源、关联路径、归一化过程都是清晰可追溯的——大模型的每一次研判结论,都能对应到具体的关联数据(如基于某漏洞、某告警、某配置变更得出结论),这极大地提升了AI研判的可解释性。
这种可解释性,解决了“黑盒研判”的痛点,让安全运营人员能够清晰了解AI的研判逻辑、数据依据,既便于验证研判结论的准确性,也能在出现问题时快速定位根源,真正实现“人机协同”,而非“AI单独决策”。
平台实践:构建以动态上下文管理为核心的多云AI安全运营体系
在多云架构普及、安全威胁日趋复杂的背景下,AI与安全运营的深度融合,已从“算法模型的比拼”,转向“数据整合能力与研判能力的比拼”。
我们的多云AI安全运营平台,核心之一在于将动态上下文管理能力深度集成,构建了一套“数据归一化-上下文关联-大模型研判-人机协同”的完整运营体系。 平台的底层并非被动的数据存储湖,而是一个主动的、工程化的安全数据语义层。
在实际运营场景中,平台可自动关联资产、漏洞、配置等相关数据,还原攻击链、挖掘隐藏威胁;面对新披露的漏洞,平台可实时归一化漏洞数据,关联受影响的多云资产,动态推演风险等级与处置优先级;面对复杂的安全事件,平台可像专业安全运营专家一样,串联所有关联数据,分析事件根源、影响范围,提出针对性的处置建议。
该实践打破了传统自动研判仅能处理单一数据、无法关联研判的局限,融合工程化数据处理与大模型智能研判能力,实现多云安全运营智能化、高效化,降低人工成本,提升威胁处置效率与准确性。这套技术体系,彻底修正了传统AI安全架构“数据碎片化、研判孤立化”的短板,重塑了AI与安全数据的交互范式,让安全运营的智能化从“口号”落地为“实践”。未来,我们将持构建更贴合多云场景需求的AI安全运营体系,为企业多云环境提供更精准、更高效、更可靠的安全保障。
平台基础版本已经开放试用,可通过官网控制台注册体验 。试用,首批天使用户有机会优先体验高级功能并获得产品的折扣优惠哦
