砸了数十亿买AI，71%的安全运营中心却说”不值”——SOC-CMM 2026报告深度解读

日期：2026-06-08 | 作者：点滴安全 | 分类：AI安全

开篇：一个令行业尴尬的数据

2026年6月初，一份来自SOC-CMM的安全运营成熟度报告在业内引发了广泛讨论。这份报告对全球约200个安全运营中心（SOC）进行了调研，得出了一个让AI安全厂商不太舒服的结论：只有约10%的SOC认为AI为他们带来了”卓越价值”，约19%认为带来了”良好价值”。剩下的71%，认为AI带来的价值”一般”甚至”没有”。

这组数据之所以刺眼，是因为它出现在一个AI安全投资的历史高点。过去18个月里，数十亿美元涌入AI驱动的安全运营平台、智能体SOC工具和内置于各安全产品层的AI副驾驶。调研数据显示，AI在SOC中的采用率全线飙升：现成大语言模型增长55%，AI副驾驶增长145%，AI智能体增长118%，监督式机器学习增长96%，定制化大语言模型增长64%。

钱花了，工具买了，部署了，但71%的SOC觉得不值。问题到底出在哪里？

AI采用率暴增，但价值感知脱节

SOC-CMM 2026报告的AI部分有三个核心发现，把它们放在一起读，问题的轮廓就清晰了。

第一个发现是AI工具的采用全面加速。在SOC内部使用的各类AI技术中，每一类的采用率都在增长，而且增长幅度不小。特别是AI副驾驶和AI智能体，增长都超过了100%。这意味着安全运营中心正在以前所未有的速度拥抱AI技术。

第二个发现涉及AI的使用模式。报告将SOC分为三类：约65%属于”拿来主义”（taker），直接采购现成的AI产品部署到现有安全体系中；约20%属于”塑造型”（shaper），在采购的基础上进行定制化调整；只有15%属于”建设型”（builder），用自己的数据训练模型。拿来主义者是最大的群体，也是报告价值感知最低的群体。而且这个规律在自建SOC、混合SOC和MSSP SOC中几乎一致——无论你的SOC是哪种交付模式，买来不调就用的AI，效果都不好。

第三个发现更加直白。在SOC面临的改进挑战中，“缺乏最佳实践”同比增长17%，“提升成熟度的复杂性”增长11%。而其他所有挑战类别，包括”预算不足”和”管理层支持不够”，都在下降。SOC不是在说没钱或没支持，他们是在说：我们买了这些AI工具，但不知道该怎么正确使用它们。

第一波AI SOC的致命缺陷——五个助理不如一个管家

为什么AI的采用率和价值感知之间会出现如此大的断层？报告给出了一个精准的诊断：第一波AI SOC工具的本质是”在现有安全产品上外挂AI功能”。

SIEM加了AI告警分类，EDR加了AI调查分析，SOAR加了AI剧本生成，工单系统加了AI摘要总结。每个功能单独看都有效果，但问题在于——这些AI功能之间互不相通。

具体来说，SIEM里的告警分类AI不知道检测工程师上周抑制了哪些规则。EDR里的威胁狩猎AI不知道威胁情报团队今早标记了什么。工单系统里的摘要AI不知道调查过程中两跳之外发现了什么。每个AI都在加速自己那一段工作流程，但没有一个在解决各段之间的衔接问题——而SOC大部分的时间和价值恰恰消耗在这些衔接点上。

用报告的量化指标来说：在SOC成熟度的五个领域中，技术领域得分最高，平均2.7分（满分5分）。但流程领域（衔接环节所在）只有2.3分，人员领域（知识和决策所在）也只有2.3分。买更多的工具，包括AI工具，并不能提升这两个分数。在某些SOC中，每增加一个工具反而让事情变得更糟，因为多一个工具就多一个衔接断点。

那10%做对了什么

报告中最有价值的部分是对那10%认为AI带来卓越价值的SOC的分析。它们使用的不是不同的工具品牌，而是一种不同的架构思路。

第一个区别是它们让AI跨工具运作，而非局限于单一产品内。AI不是某个安全工具的附属功能，而是横跨整个SOC工作流的协调层。它知道告警分类的结果会影响调查方向，知道调查结论会决定工单的优先级，知道威胁情报的更新会改变检测策略。

第二个区别是它们投资于流程重构，而不仅仅是技术叠加。在引入AI之前或同时，这些SOC会重新审视自己的工作流程，消除不必要的环节和断点。AI被部署在流程优化之后，而不是之前。这确保了AI加速的是一个高效的流程，而不是一个混乱的流程。

第三个区别是它们重视人员培训和知识沉淀。AI工具的效果高度依赖于使用它的人的专业水平。那些报告卓越价值的SOC，在部署AI的同时投入了大量资源进行安全分析师的技能提升，确保分析师能够理解AI的输出、判断其准确性，并在AI犯错时进行纠正。

第二波AI SOC需要解决的问题

基于这份报告的数据和行业内外的实践经验，第二波AI在安全运营中的应用需要在三个方向上实现突破。

第一，从”工具内AI”走向”跨工具AI”。AI不应该只是某个SIEM或EDR的增值功能，而应该作为一个独立的安全运营协调层存在。它能看到所有工具的上下文，理解工作流的前后关联，在工具之间传递信息并做出协调决策。

第二，从”拿来就用”走向”适配调优”。报告清楚地表明，直接购买现成AI产品而不做定制化的SOC，价值感知最低。每个SOC的威胁环境、资产组合、工作流程和团队能力都不一样，AI必须针对这些差异进行适配。这不意味着每个SOC都要自己训练模型，但至少需要在现有模型的基础上进行提示词工程、工作流编排和输出校准。

第三，从”AI代替人”走向”AI增强人”。报告的另一个隐性结论是，AI的价值上限取决于人的能力上限。如果安全分析师不理解AI的输出、不能判断其准确性、不知道何时应该介入纠正，那么AI再多也只是在低水平上加速。投资AI的同时必须投资人。

结语：AI在SOC中的真正价值

SOC-CMM 2026报告给整个AI安全行业泼了一盆冷水，但这盆冷水来得正是时候。

71%的SOC认为AI价值不及预期，这不是AI技术本身的问题，而是部署和运营方式的问题。当AI被当作一个”功能”叠加到现有混乱的流程上时，它加速的只是混乱。当AI被当作一个”架构”重新设计安全运营的工作方式时，它才有可能带来真正的价值飞跃。

对于正在考虑投资AI安全工具的企业来说，这份报告给出了一个清晰的忠告：在购买AI之前，先审视你的SOC流程是否足够成熟来消化AI的能力。如果你的SOC还在为基本的告警分类和事件响应流程挣扎，那么AI不会帮你解决问题，只会帮你更快地制造更多混乱。

AI是安全运营的加速器，但加速器只对方向正确的车才有价值。

标签：AI安全、SOC、安全运营、SOC-CMM、人工智能、网络安全投资 参考来源：The Hacker News、SOC-CMM 2026 Maturity Report

本文由点滴安全（www.dripsafe.cn）原创发布，关注我们获取更多网络安全深度分析。