Proveedores de AI SOC sobrevenden la caza de amenazas autónoma

Los proveedores de centros de operaciones de seguridad prometen investigación autónoma de amenazas y "operaciones sin humanos", pero los profesionales describen una realidad de despliegues limitados e integración AI superficial. Un nuevo reporte de Anton Chuvakin de Google Cloud y Oliver Rochford de Aunoo AI encuestó más de 30 briefings de proveedores y entrevistó CISOs ejecutando herramientas AI SOC en producción. La adopción del mercado está en apenas 1-5 por ciento según el Hype Cycle 2025 de Gartner, con la mayoría de equipos esperando que las capacidades AI se construyan en plataformas SIEM y XDR existentes en lugar de comprar soluciones independientes.

Lo que realmente está pasando en producción revela la brecha entre promesas de proveedores y realidad. Los equipos despliegan AI para enriquecimiento de alertas, resúmenes de investigación y borrador de reportes — pero mantienen humanos en el bucle de decisión para cualquier cosa que importa. El reporte identifica "purgatorio piloto" como un patrón común: prueba de valor se convierte en pequeño despliegue de producción, AI maneja tareas de bajo riesgo, la expansión nunca llega. Algunos equipos maduros de ingeniería de detección reportan que LLMs de propósito general bien prompteados con acceso a documentación interna superan productos de proveedores que carecen de contexto ambiental.

Las métricas tampoco apoyan las afirmaciones de adopción de proveedores. "Exposición" no es "confianza", nota Rochford — los analistas pueden ver resúmenes generados por AI en cada alerta, pero eso no significa que actúen sobre ellos. Chuvakin pide definiciones más precisas alrededor de afirmaciones de rendimiento: "'investigaciones 50% más rápidas' podría significar casi cualquier cosa." Las estadísticas de proveedores frecuentemente cuentan activación de características o respuestas de encuestas sobre "explorar" herramientas AI, no dependencia operacional real.

Para equipos de seguridad evaluando herramientas AI SOC: empiecen estrecho, midan cambios reales de comportamiento de analistas, no solo uso de características. El futuro autónomo que venden los proveedores no está aquí todavía, y decisiones de compra basadas en promesas de roadmap en lugar de capacidades actuales es pensamiento ilusorio caro.