安全运营中心供应商承诺自主威胁调查和"无人值守运营",但从业者描述的现实是受限的部署和浅层AI集成。Google Cloud的Anton Chuvakin和Aunoo AI的Oliver Rochford发布的新报告调研了30+供应商简报并采访了在生产环境中运行AI SOC工具的CISO。根据Gartner 2025年技术成熟度曲线,市场采用率仅为1-5%,大多数团队在等待AI能力被构建到现有SIEM和XDR平台中,而不是购买独立解决方案。
生产环境中的实际情况揭示了供应商承诺与现实之间的差距。团队部署AI用于告警增强、调查总结和报告起草——但在任何重要决策中都保留人工参与。报告将"试点炼狱"确定为常见模式:概念验证转换为小规模生产部署,AI处理低风险任务,扩展从未到来。一些成熟的检测工程团队报告说,经过良好提示的通用LLM能够访问内部文档,其表现超过了缺乏环境上下文的供应商产品。
指标也不支持供应商的采用声明。Rochford指出"暴露"不等于"信任"——分析师可能在每个告警上看到AI生成的摘要,但这不意味着他们会据此采取行动。Chuvakin呼吁对性能声明进行更明确的定义:"'调查速度提高50%'几乎可以意味着任何东西。"供应商统计数据通常计算功能激活或关于"探索"AI工具的调查回应,而不是实际的运营依赖。
对于评估AI SOC工具的安全团队:从窄范围开始,衡量分析师行为的实际变化,而不仅仅是功能使用情况。供应商销售的自主未来尚未到来,基于路线图承诺而非当前能力做出的购买决策是昂贵的一厢情愿。