快思考与慢思考在 SOC 中的应用:自主 AI 与分析师副驾驶结合的案例

快思考与慢思考在 SOC 中的应用:自主 AI 与分析师副驾驶结合的案例

导语:在一次与《财富》50 强企业 CISO 的对话中,作者借心理学家 Kahneman 的「快慢双系统」理论,揭示了当前 SOC 在 AI 架构设计上的根本误区,并提出用自主 AI 承担海量告警分诊、让人工分析师聚焦高价值判断的双层架构范式。

几天前,我与一家《财富》50 强企业的 CISO 坐下来交流,了解他的安全团队如何在 SOC 中规划 AI 智能体。这是一个非常聪明、非常严肃的团队。他们已经将 Claude 与一些检测工具连接起来,在特定调查场景中切实感受到了价值。但当我们一起梳理更宏观的架构时,有一个问题始终让我感到不安:他们正在构建的设计,只能在一小部分真正需要深度人类判断的告警上表现出色;而对其余的告警,则会完全忽略。

在回程的航班上,我拿起一本几年没翻过的书——Daniel Kahneman 的《思考,快与慢》。Kahneman 是真正改变了我们对人类决策理解的人之一。他以心理学家身份研究人类究竟是如何思考的,而不去沿用经济学家们那些未经检验的假设。2002 年,他凭借相关研究获得了诺贝尔经济学奖——这本身就足以说明他的工作早已跨越了原始领域。

全书的核心论点是:人类心智并非单一结构,而是两个系统在并行运作,常常彼此拉扯。第一套系统(System 1)是自动运转的大脑:瞬间识别模式、在几秒内读懂一个房间,无须刻意努力就能让你存活。它快速、联想式、无意识。根据 Kahneman 的研究,95% 的人类认知都在这里完成,像一套看不见的操作系统在后台安静运行。

第二套系统(System 2)则是你在处理难题时才调动的大脑:评估一份合同、推演一个没有明显答案的问题、在压力下做出判断。它缓慢、逻辑性强、费力运转,只占我们思维的剩余 5%。当 System 1 出错时,它能够接管、推翻前者;但它的容量有限,无法全天满功率运行。一旦疲惫,System 1 就会不问青红皂白地重新接管。

Kahneman 最重要的洞见并不是某一套系统更优。他强调:人类所犯的错误,几乎都是把错误的系统套到了错误的任务上。把刻意思考用在本该自动处理的事情上,会把人压垮却又仍然漏掉东西;把自动化思维套用在真正需要深思的任务上,则会产生高度自信的错误判断。

飞机落地后,我打开笔记本,给自己写下一句话:「这正是当下绝大多数安全团队在设计 AI 架构时所犯的同一个错误。」Kahneman 指出人类约有 95% 的认知由 System 1 完成、5% 由 System 2 完成;而一项基于逾 2500 万条企业告警的分析研究发现,多达 98% 的告警可以被自动化闭环,仅有不到 2% 真正值得人工复核。这一比例与 Kahneman 的 95/5 几近吻合。表现优秀的 SOC 并不是什么新发明,而是一种镜像最佳人类决策机制的架构:用快速、自动的方式处理压倒性的多数输入,再把深思熟虑的人工判断留给真正需要它的那一小部分。

原文配图

那位 CISO 当时正在打造一个只有「一颗大脑」的 SOC:他的团队既要让 System 2 去完成本属于 System 1 的工作,又要它去做自己真正擅长的事——只能凭借剩下的那点精力应付。难怪他们只能覆盖告警中的一小部分;难怪分析师疲惫不堪;难怪藏在低优先级告警堆里的真实威胁从未浮现。根据对逾 2500 万条告警的研究,一家每年产生 45 万条告警的企业,预计会有 54 个真实威胁就藏在那些看起来像噪声、永远到不了队列前列的告警中。

SOC 告警分诊中的绝大部分工作,本质上是 System 1 的问题:这个文件是否已知为恶意?这次登录是否符合历史行为?这个 IP 是否曾出现在我们已结案的工单中?这些问题并不需要冗长的审议,它们需要的是答案——以机器速度、对每一告警、7×24 小时给出答案。当人类分析师被迫去做这件事时,就会出现让人整天跑 System 2 任务时同样的结果:速度下降、判断简化,并最终开始跳过。他们只分诊看起来紧急的告警,藏在低优先级告警堆里的那 54 个真实威胁继续潜伏——并非有人选择忽视它们,而是因为它们前面还压着 4000 条告警,团队的认知容量已经耗尽。

SOC 的「自主大脑」应当像 System 1 一样运作:持续运转、无须提示、在人类注意力阈值之下安静工作。它对 100% 的信号执行深度的、法医级别的调查:内存扫描、文件分析、跨越端点、身份、网络和云的关联分析;它关闭明显是噪声的工单,把真正需要人工的工单连同已整理好的全部证据推上桌面。它不等待授权,直接输出结论。这才是 AI SOC 应有的样子:对每一条告警进行调查,在不到两分钟内以 98% 的准确率做出判定,并把这 2% 真正值得关注的告警交给人工团队。

System 2 才是 Claude、Codex、Cursor 在 SOC 中应当发挥价值的位置。原因并非它们「慢」,而是因为它们所擅长的工作本质上就是深思熟虑的:复杂案例分析、检测规则工程化、事件报告撰写、依据行业简报开展威胁狩猎。这些都需要综合、判断,以及把取证发现与只有分析师才掌握的业务上下文结合起来的能力。这也是 AI 副驾驶(co-pilot)框架能够成立的地方——但前提是这个副驾驶并没有同时被要求去接管跑道。当一个 Claude 智能体接到升级上来的案件时,它不应该从一个原始告警开始,而是从一个取证分析已完成、相关信号已关联、建议处置已起草的完整调查包开始。分析师基于经过策展、证据齐全的案件行使判断力,他们要做的并不是去验证一条告警值不值得看一眼,而是去完成真正需要人类大脑的工作。

当 System 2 接收到这种输入时,事情会发生变化:以往一整个下午在多个控制台之间来回切换的工作,会变成一段简短而专注的交互。分析师不再机械地推进告警队列,而是开始做他们真正被雇来做的本职工作。而我认为市场还没有充分意识到的是——慢脑所做的每一个判断,都会反馈给快脑。在 Claude 中写下的每一条调优规则、每一次带入新上下文而结案的案件,都会让自主层在第二个月变得更为准确。两套系统是相互叠加的,它们会让彼此随时间持续变得更好。

Kahneman 用一生记录了人类把错误的认知系统用错问题时的种种后果;而安全行业此刻正在规模化地同时触发这两种失败模式。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/thinking-fast-and-slow-in-soc-case-for.html

作者:info@thehackernews.com (The Hacker News)