1 月 29-30 日，由四川警察学院、公安部网络安全等级保护中心主办的 2026 年网络安全等级保护技术学术交流活动在成都举行。活动以 " 科技赋能 · 筑基强网 " 为主题，多名来自国内网络安全领域的权威技术、法律专家分享了新技术及热点研究成果。蚂蚁集团天宸实验室主任刘焱出席本次交流活动，并做《网络安全垂域大模型在安全运营场景下的数字分身应用》主题分享。

刘焱指出，高度复杂业务使安全保障任务面临巨大挑战，如

数据内视能力不足：检测系统过度依赖单一数据源，缺乏对应用层、操作系统等多维数据的全面监控；

攻击检测能力不足：攻击行为复杂多变、内部体系架构繁杂，大量用于风险研判的运行时上下文缺失，导致研判结论偏差，出现告警风暴；

响应联动不足：AI 驱动的自动化攻击成本降低，并且以多种手段隐藏身份，防御方自动化分析难度高，全链路回溯挑战巨大，人均响应能力与攻击规模严重失衡。

刘焱表示，真正制约大模型落地效果的并非模型本身能力，而是数据的质量与深度。现有安全建设中存在四大数据源 " 深度 " 问题：数据难以还原事实本源、采集范围受限于现有技术手段、观测时机窗口易缺失、海量数据无法持久储存。

对此，蚂蚁集团首创了安全平行切面体系，该体系基于 AOP（面向切面编程）思想，实现非侵入式数据采集与逻辑注入，在不修改应用源码的情况下给程序动态添加或修改功能，并通过切面平行舱保证其有序运行，即在不影响业务运行的情况下获取深层执行数据，提供精准的安全内视与干预服务。蚂蚁集团围绕安全平行切面打造了企业安全建设的基础设施，实现了威胁对抗能力与效率的跨越式提升。

在数据采集层面，应用安全平行切面后，可以实现 " 日志自由 "。例如，在 JAVA 服务器中检测内存马时，按照传统常见的方法需要在敏感节点打日志、修改代码，如使用的是招聘等第三方系统，操作则会更加复杂。但应用切面技术后，仅仅需要关注三个关键函数，对读取后的数据进行研判即可，全过程无需升级软件本身。

刘焱提到，大模型并非万能，实践发现其用于威胁检测细分领域时存在局限性，尤其是在 " 信息不足 " 时，其严重的幻觉问题会导致其研判错误。蚂蚁集团提出的 DKCF 大模型推理可信应用框架，是对大模型专业应用可信问题解决之道的探索，其中 D 指的是充足的数据供给；K 指的是专业知识工程，包括了行业数据集和专业知识图谱对齐；C 指的是协同规划、编排，把高难度问题拆解为多个简单问题，人类专家与 AI 专家融合演进；F 指的是高效核验、反馈，并根据反馈内容不断迭代。

在威胁检测领域中，切面与 DKCF 结合，可以实现全域联动获取数据，能精准感知威胁、定性事件、智能定损。

在数据层面，安全平行切面技术的信息采集解耦，提供了 " 数据和日志自由 "；

在知识层面，利用大模型对多维实时行为序列抽取，构建主客凭据关联以及行为依赖生成行为知识图谱，结合 ATT&CK 技战术领域知识库，提供分析依据；

在协同层面，基于用户行为链构建行为序列校验引擎，实现了检测智能体调用链，融合专家智能和机器智能；在核验、反馈层面，残差分析、反馈弥补了各层次（策略、知识、能力等）不足，解决了误报多、未知威胁发现能力弱、可解释性差的痛点。

实践落地中，大模型威胁检测风险研判的 " 判黑 " 准确率超 85%，召回率超 95%，响应时间从 30 分钟以上缩短至分钟级。

演讲的最后，刘焱表示，大模型时代，工作范式发生了变化，从人工操作转变为人机协同，目前阶段的人机协同从以人为主过渡到以 AI 为主，人工参与解决 AI 遇到的难题。未来，对于安全运营的愿景是让 AI 成为工作人员的数字分身，去承担枯燥、重复的工作，安全团队则作为 " 指挥官 "，聚焦更高价值的安全研究、  " 攻防边界 " 探索，推动网络安全更好的发展。