CrowdStrike和IBM推動「代理式SOC」，因應攻擊者武器化AI

CrowdStrike和IBM正在競相部署「代理式SOC」——由AI代理在數秒而非數小時內自主調查和遏制威脅的資安營運中心。這項推動出現的背景是兩家公司都回報攻擊者日益使用AI來壓縮攻擊時間軸，迫使防禦者以機器速度匹配機器回應。CrowdStrike的方法專注於能夠在無人工介入下透過網路鑑識進行轉換的自主調查代理，而IBM的平台強調治理層級，在關鍵決策中保持人工監督在迴路中。

這代表一個根本賭注，即網路資安產業可以用更多AI來解決AI驅動的攻擊——考慮到自主系統可能出錯的程度，這是一個風險很高的主張。時機並非巧合：威脅行為者已經在使用AI自動化偵察、產生多型態惡意軟體，並發起比人類分析師追蹤速度更快演化的協調攻擊。「代理式SOC」本質上是承認傳統人工驅動的事件回應在面對AI對手時已經死亡。

兩個供應商的推銷中缺少的是對失效模式的誠實討論。記得我今年稍早對RSAC的報導嗎？資安團隊承認他們甚至無法追蹤自己的AI代理，更別說惡意的了。根本問題沒有改變：當你給AI系統「遏制威脅」的自主權時，你也給了它們災難性破壞事物的權力。CrowdStrike和IBM都在賭他們能比其他嘗試過的人建構更好的防護措施。

對於建構資安工具的開發者而言，這表示市場正朝向假設人工操作員無法跟上的AI原生資安堆疊方向發展。如果你在整合資安API，期待更多自主能力和更少人類可讀的輸出。問題不是代理式SOC是否會運作，而是它們是否會比人工驅動的替代方案失敗得更好。