大模型时代安全如何洗牌

安全大模型发展路径洞察与实践 主讲人：潘剑锋 360集团首席科学家、数字安全集团CTO 2025年3月 CONTENTS /目录 360安全大模型落地实践 大模型的“快慢思考” 现阶段如何做好安全大模型？ 大模型的“快慢思考” 大语言模型的“理解力” 当前大语言模型表现的“理解力” “统计性”理解 DeepSeek-R1在数学、代码、自然语言等任务上性能可比肩OpenAI-o1模型正式版。 •在依靠统计获得的文字符号之间的关联关系，是一种语言层面的表象关联 在AIME2024数学基准测试中，DeepSeek R1得分率79.8%，OpenAIo1得分率79.2%。 在MATH-500基准测试中，DeepSeekR1得分率97.3%，OpenAIo1得分率96.4%。 相通之处：随着语料的丰富，逐步逼近“本质性”理解 存在差异：事实性知识、反思型推理等 2 “本质性”理解 •人类在抽象知识层面依据内容与客观逻辑形成的关联 大模型的“快慢思考” 参考诺贝尔经济学奖获得者、心理学家丹尼尔·卡尼曼（DanielKahneman）在其著作《思考，快与慢》中提出人类大脑处理信息的不同方式。 大模型的“快慢思考” 大模型“快思考” 大模型“深度思考” 2024年3月，在360安全大模型3.0发布会上，圈内首次公开引入认知心理学的快、慢思考，来说明大模型本身到底擅长做什么、不擅长做什么？ •从大量标签（经验）数据中找出统计性规律，从而解决同类问题的过程，我们称之为“快思考”；（一般是快速的、不太耗费资源的、内隐的（无需反省），也是很难控制或修正的） •在问题和答案之间加入大段推理过程，通过推理时计算不断提升生成答案的准确性，我们称之为“深度思考”（类似deepseek-r1,GPT-o1/o3） “慢思考”本质性理解、深度反思、多步推理，消除“快思考”的“幻觉” “快思考”“深度思考”基于统计性理解，快速生成“结果”+生成“过程” 大模型“慢思考” •基于“本质性”理解的关联分析过程•一般涉及复杂的计算过程，需要反思、多步骤推理•整体是缓慢的、耗费资源的、不容易出错、存在控制•可能需要结合外部工具、知识调用等 大模型擅长做什么？ 目前大模型的价值是很好的模拟了人脑的“快思考” 人脑 大模型 “快思考”能力 “快思考”能力 通过海量数据训练，做文字符号层面的统计处理，从数据中找出统计性规律，在概率的意义上掌握学习样本所反映的隐含知识，并以此为基础来生成内容。 人脑要达到一个比较好的“快思考”效果，需要细分场景，然后进行反复训练，才能达到快速、潜意识判断。 推理大模型擅长做什么？ 推理大模型（GPT-o1/o3、DeepSeek-R1等）通过“深度思考”能力，向“慢思考”更近一步 “深度思考”能力大模型 “知道”：概率性关联关系 “理解”：本质性关联关系 推理大模型的价值是模拟了“深度思考”，其使得模型的推理向“慢思考”更近了一步。大模型的“深度思考”试图突破在“快思考”阶段，模型训练数据的局限，寻找能力增长的“第二曲线”。 “慢思考”能力 当前大模型距离“慢思考”还有多远？ 依靠当前大模型结构，尚未达到“本质性理解”大模型不擅长“慢思考”任务 大模型不擅长“慢思考” “慢思考”的本质：是对事物本质性理解，需借助事实性知识，通过多步推理、反思，是“深思熟虑”的结晶大模型的“深度思考”不是真正的“慢思考”：其并没离开语言模型的框架，依然是自回归单向序列生成在简单任务上，大模型生成的基于表象的统计性理解已经逼近人类的“慢思考”；但在复杂任务上，“快思考”“慢思考”就会产生明显差异 现阶段如何做好安全大模型？ 什么是“真正”的安全大模型？ “主任医师” 安全大模型 通用大模型的安全领域应用 干得了通用大模型干不了的安全任务，EDR行为端到端研判、网络流量端到端研判…… 异常行为检测、安全告警降噪、威胁组织归因…… 安全知识问答、告警结构化解读、报告总结生成…… 自然语言理解、知识库召回，大模型对召回内容进行总结输出 创新模型结构，优化推理程序，通过专项训练手段，能够“学习”海量安全数据 做安全大模型的必备条件 做安全大模型的整体思路 “快思考”任务：针对专项场景生产安全数据语料，进行模型结构优化，创新模型训练来完成 “慢思考”任务：现阶段，Agenticworkflow+安全大模型，实现特定场景的“慢思考”效果 “慢思考”任务：现阶段用Agenticworkflow打造 “快思考”任务：大模型场景化专项训练 面向网络告警端到端研判、终端行为端到端研判、钓鱼邮件研判等快思考任务，生产海量专业标签语料，针对性创新训练 以安全大模型为核心，结合外部知识和工具，增强智能体规划、反思能力，完成复杂任务。 360安全大模型落地实践 安全大模型整体落地实践路线 海量安全数据、自研模型架构、专项场景训练、专家经验沉淀、全线产品赋能 海量安全语料生产 “多专家协同（CoE）”大模型架构设计 2024年3月，提出CoE模型架构，该架构参考生物学大脑，可基于任何大模型基座进行调整与专项训练，目前已在安全领域从泛化性、鲁棒性、可解释性和推理效率方面表现出了优秀的基础能力。 CCoE安全大模型结构剖析 CCoE（紧凑型多专家协同大模型）：基于CoE架构，针对垂直任务和安全数据特点，创新模型结构设计，重塑推理程序 多底座的CCoE结构 CCoE是一个灵活的垂类大模型架构，可以像搭积木一样，在一个或多个庞大的底座上添加新模块、替换旧模块；同时也可以在优秀的新底座出现后（比如Deepseek），替换或添加底座。DeepSeek发布后，可迅速基于它进行CCoE结构调整，构建专项训练的专家分区。 针对“快思考”任务：CCoE安全大模型“分区训练” 每一轮专项训练效果可控，有效减少多任务冲突、过拟合等问题，保证训练效果同时降低资源消耗。 CCoE模型现阶段训练效果 针对“慢思考”任务：Agentic Workflow安全专家经验沉淀 综合安全场景全线赋能安全产品 持续探索安全大模型技术 探索新的模型结构，寻找新的发展范式 CoAT框架 “思想钢印” 增强大型语言模型推理的联想思维链框架 记忆共享的LLM结构，增强大模型“慢思考”推理能力 1、记忆多层共享，思维一致2、知识反复召回，深思熟虑 深耕AI，重塑安全 「思维模式的突破」是安全大模型发展之路