資安營運中心廠商承諾自主威脅調查和「無人值守營運」,但從業人員描述的現實是受限的部署和淺層AI整合。Google Cloud的Anton Chuvakin和Aunoo AI的Oliver Rochford發布的新報告調研了30+廠商簡報並訪談了在生產環境中運行AI SOC工具的CISO。根據Gartner 2025年技術成熟度曲線,市場採用率僅為1-5%,大多數團隊在等待AI能力被建構到現有SIEM和XDR平台中,而不是購買獨立解決方案。
生產環境中的實際情況揭示了廠商承諾與現實之間的落差。團隊部署AI用於告警增強、調查摘要和報告起草——但在任何重要決策中都保留人工參與。報告將「試點煉獄」確定為常見模式:概念驗證轉換為小規模生產部署,AI處理低風險任務,擴展從未到來。一些成熟的偵測工程團隊報告說,經過良好提示的通用LLM能夠存取內部文件,其表現超過了缺乏環境脈絡的廠商產品。
指標也不支持廠商的採用聲明。Rochford指出「暴露」不等於「信任」——分析師可能在每個告警上看到AI生成的摘要,但這不意味著他們會據此採取行動。Chuvakin呼籲對效能聲明進行更明確的定義:「『調查速度提升50%』幾乎可以意味著任何東西。」廠商統計數據通常計算功能啟用或關於「探索」AI工具的調查回應,而不是實際的營運依賴。
對於評估AI SOC工具的資安團隊:從窄範圍開始,衡量分析師行為的實際變化,而不僅僅是功能使用情況。廠商銷售的自主未來尚未到來,基於路線圖承諾而非當前能力做出的購買決策是昂貴的一廂情願。