表1：青藤无相VS其他安全智能体

L4级高阶安全智能体与其它智能体的差异是什么？青藤无相AI是如何实现从 L2 到 L4的代差跨越 ？（关于L1-L5级智能体技术分级标准见文末附录）

我们对无相和全球顶尖安全厂商的AI Agent产品做了一个详细的对比，包括Microsoft Security Copilot、CrowdStrike Charlotte AI、PaloAlto Copilot、Darktrace Active AI、Fortinet FortiAI。

一、青藤：无相高阶安全智能体

无相是青藤推出的全球首个 L4 级高阶安全智能体，可以通过超一万步的自主任务规划，利用一条告警信息，精准还原黑客从概念验证到横向移动的完整攻击链路，实现告警研判、溯源分析、安全报告的全流程自动化。

1.应用场景

（1）告警研判场景：实时监听海量告警信息，自主进行研判，通过交叉验证机制过滤误报，告警覆盖率达100%，准确率达99.99%，有效降低95%以上的研判工作量。

（2）溯源分析场景：仅需一条告警，自动完成从告警接收到最终结案的全链路分析，精准复刻攻击者的每一步活动，提供无可辩驳的攻击铁证，并通过对黑客隐匿行为模式的深度学习与理解，能够从海量数据中敏锐捕捉到最微弱的异常信号，揭示潜藏的未知风险。

（3）安全报告场景：自动整理告警/调查线索信息，一键进行总结，支持从原始告警到 MITRE ATT&CK战术阶段的全流程映射，输出“电影级别”溯源分析报告。

2.自主决策程度

青藤无相作为L4级高阶安全智能体，具备强大的环境感知、策略规划及问题解决能力，可在不确定环境中独立工作，自主完成上万步复杂操作，突破亿级Token处理规模，表现超越 “安全专家团队”。

3. 差异分析

（1）抵消幻觉大幅提升准确度：依托专业安全知识库技术，结合检索增强生成与知识图谱，在推理过程中动态调用外部知识库，避免模型依赖虚假记忆。同时，利用双向追溯机制，每个攻击结论附 “多重验证锚点”，支持回溯原始证据，确保分析结果精准度。

（2）动态图规划提高复杂任务效率：动态图规划技术结合动态知识图谱、强化学习与多智能体协作，支持多路径并行探索，自我反思迭代，动态优化最优执行路径，打破传统静态列表线性执行和单点故障瓶颈，复杂任务处理时间缩短约87%。

（3）突破复杂任务token窗口限制：通过动态调整窗口大小和混合注意力机制，突破传统大模型Token窗口局限，支持亿级数据吞吐量，可自主规划超万步复杂操作，如在APT 攻击溯源时，可连续执行 13,000步操作，还原攻击全链路。

（4）强大的生态融合能力：高效采集多源异构数据，可对接第三方产品，实现多源数据互通与工具联动，提升安全防护协同性，增强整体防御效能。

4.功能展示

（1）告警研判

自动监控告警，自主进行研判，告警覆盖率达100%，准确率达99.99%，工作量降低95%以上。  

（2）溯源分析

仅一条告警，自动完成全链路溯源分析，结果精准并提供无可辩驳的攻击铁证。

（3）安全报告

一键总结溯源分析结果，“电影级”可视化展示攻击链路，信息更全。

二、Microsoft：Security Copilot

Microsoft Security Copilot是基于大规模语言模型（LLM）和微软安全知识的安全分析工具。它通过自然语言交互，帮助安全人员快速理解和响应安全事件，提升运营效率。

图1：Microsoft Security Copilot产品架构

1.应用场景

（1）事件响应与调查：快速总结告警信息，关联不同数据和事件上下文，辅助分析师调查。

（2）威胁狩猎：自然语言查询搜索潜在威胁和异常行为。

（3）安全态势评估：帮助理解组织的安全风险暴露面，识别潜在漏洞。

（4）报告生成：自动生成安全事件报告、漏洞分析报告等。

（5）安全技能提升：提供实时的安全知识和最佳实践指导。

总的来看，Microsoft Security Copilot以单线程 React 模式运行，能做告警总结、自然语言查询等单点任务，依据传统静态列表线性执行，存在单点故障瓶颈，难以应对复杂任务。

相较之下，青藤无相在任务复杂度、分析效率以及动态规划等方面，已达全新高度。其动态图规划能力，实现多路径并行探索，通过自我反思迭代，动态优化最优执行路径，将复杂事件处理时间缩短87%。

2.自主决策程度

Microsoft Security Copilot 定位为“智能助手”或“副驾驶”，主要是增强人类分析师的能力，而非完全自主决策和行动。它提供强大的分析、建议和自动化脚本生成能力，但最终决策和行动执行需人工确认和干预。

相较之下，青藤无相是自动驾驶级高阶智能体，通过动态调整窗口大小和混合注意力机制，突破传统大模型Token窗口局限，支持亿级数据吞吐量，可在不确定环境中独立完成上万步复杂操作，自主决策程度更高。

3.差异分析

（1）优势

强大的自然语言处理能力：基于先进的生成式 AI ，交互体验自然流畅，降低安全分析门槛。

海量威胁情报支撑：依托微软庞大的威胁情报网络，提供及时、准确的威胁洞察。

提升安全运营效率：自动化分析、快速信息汇总和引导式响应，显著提升效率。

（2）不足

微软生态依赖性高：未使用或较少使用微软安全产品的组织，价值受限。

相较之下，青藤无相具有强大的生态融合能力，支持多种+API 动态注册，实现跨厂商数据互通与工具联动，无需依赖单一生态。

“黑箱”问题：AI 模型的决策过程难以完全解释，存在一定的不可预测性。

相较之下，青藤无相可视化推理过程，提供图形化分析思路、文本化决策解释、交互式探索界面，允许分析师检查每个推理步骤。同时，每个结论必关联原始证据。通过双向追溯与可视化推理，解决“黑箱” 问题。

4.功能展示

（1）事件调查

调用内置事件分析模块，选择调查事件583909。

（2）溯源分析

使用内置调查分析函数，调查受影响设备在告警前后时间内的可疑行为。

（3）事件报告

调用系统内置的报告生成函数，总结此次攻击从钓鱼邮件开始，经历了可疑文件落盘、恶意 PS脚本执行、反弹至 C2 地址，呈现攻击的关键节点。

三、CrowdStrike：Charlotte AI

CrowdStrike Charlotte AI 是集成于Falcon平台的生成式AI安全助手，定位为“虚拟安全分析师”。其基于多AI代理框架，融合第三方大语言模型与自研AI代理，并依托全球最大安全遥测数据集持续训练。

图2：Charlotte AI架构

1.应用场景

（1）加速威胁调查与响应：自然语言交互，快速获取特定告警、主机或用户上下文信息，理解攻击链，并获得响应建议。

（2）简化威胁狩猎：自然语言交互执行搜索，降低了高级威胁狩猎门槛。

（3）自动化报告与摘要：自动生成安全事件的摘要、趋势报告、分析结果总结。

（4）优化安全运营：自动化重复性简单任务，帮助安全团队高效管理海量安全数据和告警。

2.自主决策程度

Charlotte AI的定位是人类分析师的强大工具助手，提供安全分析和决策建议，增强人类决策，并辅助执行某些数据查询和提取任务，最终的策略配置和行动审核由人类管理员控制。

相较之下，青藤无相是L4级高阶安全智能体，突破亿级Token窗口限制，并利用动态图规划技术，实现复杂任务动态分解与并行执行，可自主完成从告警研判到攻击链还原的全流程。

3.差异分析

（1）优势

强大的数据基础：依托 CrowdStrike Falcon 平台的海量、高质量安全遥测数据，为 AI 分析提供了坚实基础。

提升效率：通过 Charlotte AI 加速工作流程，提升生产力。

简化复杂操作：将复杂的威胁狩猎和数据查询通过自然语言变得简单易行。

快速获取洞察：迅速从海量数据中提炼关键信息，帮助分析师快速理解安全事件。

（2）不足

深度集成于原有安全平台： Charlotte AI深度集成于CrowdStrike Falcon平台，对于未使用Falcon的组织不适用。

相较之下，青藤无相作为企业级Agentic AI应用，基于青藤多年多源异构数据采集能力，轻松对接第三方产品，实现跨平台生态融合。

生成式 AI 幻觉：生成式AI从数据中学习并生成符合要求的内容，结果具有随机性，存在很大“幻觉”问题，需要甄别验证。

相较之下，青藤无相基于推理式AI大脑，具有严格的证据链接机制，每个结论必须关联原始数据源，支持双向追溯和多重验证，内置自我质疑机制，对重要结论进行二次验证。这种严格的可解释性和幻觉控制机制，确保了分析结果的可靠性。

自然语言理解准确性：理解复杂或模糊的用户查询时，可能存在偏差。

4.功能展示

（1）告警智能调查

（2）互联网暴露面识别

快速识别互联网暴露主机上的数百个严重漏洞，安全团队可据此对关键主机进行优先处理。

（3）恶意样本影响面查询

自然语言提问，Charlotte AI 能提供包括域名、IP 地址和相关威胁行为者等所有已知的 Scanbox 恶意软件指标。

四、PaloAlto：Strata Copilot 、Prisma Cloud Copilot、Cortex Copilot

2024年5月，PaloAlto推出了Strata Copilot 、Prisma Cloud Copilot、Cortex Copilot三款代表性安全助手，分别深度集成于其网络、云和安全运营平台，通过生成式AI（GenAI）与Precision AI技术融合实现安全自动化和智能化。

1.应用场景

（1）网络安全运营 (Strata Copilot)：协助管理员理解和配置防火墙策略，分析网络流量，快速识别和响应网络威胁。

（2）云安全管理 (Prisma Cloud Copilot)：导航复杂的云环境，理解云安全态势，简化合规检查，加速云风险修复。

（3）安全运营效率提升 (Cortex Copilot)：自然语言查询加速事件调查、总结告警、提供响应建议、自动化重复性任务。

（4）威胁情报利用：将 PaloAlto的威胁情报融入日常操作，帮助用户理解最新威胁和攻击手法。

2.自主决策程度

PaloAlto 三款Copilot的定位为平台内嵌式助手，智能安全能力体现在分析和建议层面，以及在明确授权下的辅助执行，而非独立的决策和行动。

相较之下，青藤无相是 L4 级高阶智能体，能够自主动态完成上万步复杂操作，可动态调整调查路径并自主调用工具，实现从 “环境感知 - 动态规划 - 高效执行” 的完全自主任务处理。

3.差异分析

（1）优势

充分利用自有平台能力：充分利用自有平台数据和能力，提供精准的上下文分析。

覆盖领域广泛：覆盖了网络安全、云安全、安全运营等多个关键领域。

提升运营效率：自动化辅助，减少手动操作和分析时间，提高效率。

降低操作复杂度：帮助用户更容易地理解和管理复杂的安全产品和策略。

利用 Precision AI：基于Precision AI 技术，结合机器学习和深度学习，提供高质量的威胁检测和分析能力。

（2）不足

生态系统锁定：内嵌于Palo Alto原有安全产品中，深度绑定PaloAlto生态。

相较之下，青藤无相作为企业级Agentic AI基础设施，实现跨平台数据互通与工具联动，提升安全协同效率。

自主性和准确率不足：复杂任务仍需人工介入，智能分析准确率不可控，需要分析师具备甄别能力。

相较之下，青藤无相可自主动态完成超1万步复杂任务，无需人工介入。在准确率方面，无相通过多年积累专业安全知识库实现证据链双向追溯，结论与原始日志100%关联，同时结合动态知识图谱及多重验证机制，分析结果可靠性超越人类专家团队。

4.功能展示

（1）Strata Copilot—C2地址威胁分析

（2）Prisma Cloud Copilot—敏感信息暴露分析

（3）Cortex Copilot—设备详情查询

五、Darktrace：Active AI

Darktrace的Active AI是基于自研免疫系统AI模型的主动防御平台，采用无监督机器学习（ULM）与概率数学算法，持续学习网络实体行为基线，实现无需先验规则的异常检测。

图3：Active AI架构

1.应用场景

（1）异常行为检测：实时监控网络、云、应用、端点活动，识别偏离正常行为的异常事件。

（2）自主威胁响应：检测到威胁后，自主采取有针对性的行动阻止或减缓攻击，为人类团队争取时间。

（3）威胁可视化：直观界面展示网络活动、威胁事件和AI分析过程，更好理解攻击范围和性质。

2.自主决策程度

Darktrace Active AI是部分完全自主模式，在检测到高置信度威胁时，无需人工干预即可自主采取遏制措施。这种自主决策是基于对正常行为的深度理解和对威胁的实时评估。

相较之下，青藤无相可实现复杂任务完全自主执行，同时基于证据链双向追溯、多源数据交叉验证、可视化推理过程等能力，有效大幅度降低“AI幻觉”问题。因此，在分析效率、结果准确度、结论可解释可证明性方面，无相都达到了业界顶尖水准。

3.差异分析

（1） 优势

强大的未知威胁和内部威胁检测能力：自学习AI对正常行为的理解使其能有效发现传统方法难以察觉的异常和内部威胁。

快速的自主响应能力：在威胁造成重大损害前进行干预，显著缩短响应时间。

无需大量人工配置：AI自主学习环境特性，减少对规则库和签名的依赖。

广泛的环境覆盖：保护网络、云、SaaS、OT 等多样化数字资产。

（2）不足

“黑箱”效应挑战：自学习AI的决策过程难以完全透明。

相较之下，青藤无相提供图形化分析思路、文本式决策解释、交互式探索界面，实现可视化、多层次信息展现，避免“黑箱”问题。

集成与协同挑战：复杂异构安全环境中，与第三方工具协同需要额外配置。

相较之下，青藤无相采用开放生态兼容模式，支持多种API动态注册，可无缝对接第三方工具和数据。

4.功能展示

（1）自动化溯源分析

（2）攻击者识别

（3）报告生成

六、Fortinet：FortiAI

FortiAI是Fortinet推出的生成式人工智能安全助手，深度集成于Security Fabric平台，覆盖威胁检测、自动化响应与网络运营优化三大领域。通过GenAI与Agentic AI的融合，实现多模态数据处理和自动化策略引擎。

图4：FortiAI架构

1.应用场景

（1）高级威胁检测：机器学习模型识别传统安全产品难以发现的未知威胁。

（2）恶意软件分析：自主分析可疑文件和代码，并进行分类和溯源。

（3）事件编排与自动化响应：基于AI分析结果自动执行响应playbook。

（4）态势感知：分析威胁数据，预测潜在攻击趋势，提升整体安全态势。

（5）减少告警疲劳：精准的威胁识别和告警优先级排序，帮助安全团队聚焦真实、高风险的威胁。

2.自主决策程度

FortiAI具备预置规则的自主能力，可以在预定义的策略和playbook框架内运作，在威胁检测和初步分析方面具有较强的自主性，在与FortiSOAR 等自动化平台集成时，FortiAI 的分析结果可以直接触发预设的自动化响应流程。

相较之下，青藤无相基于动态图规划技术，使安全分析不再局限于预设路径，而是能够根据实际情况灵活调整。如在复杂APT攻击分析中，无相可自主动态完成超1万步操作，并根据实时环境动态修正路径，自动切换备用工具链，无需人工干预，完全动态自主地执行复杂任务。

3.差异分析

（1）优势

未知威胁检测能力：专注于识别传统安全手段难以发现的零日攻击和高级威胁。

充分利用自有产品能力：利用 Fortinet 产品能力，实现端到端威胁可见性和自动化响应。

提升响应速度： AI自动化分析和响应，显著缩短从检测到响应的时间。

降低人工分析依赖：自动化许多耗时的分析任务，安全团队更有效地分配资源。

持续的威胁情报更新与模型自学习：依托 FortiGuard Labs的威胁情报和持续的AI模型训练，保持对新兴威胁的检测能力。

（2）不足

对Fortinet生态的依赖性：深度集成于Fortinet原有安全平台中，对未使用 Fortinet产品的组织，价值受限。

持续的数据输入和调优：FortiAI依赖预置规则实现自主能力，其模型调优依赖人工更新规则，本质上属于「被动调优」模式，为了保持最佳性能，AI模型需要持续输入高质量数据，并根据特定环境调优。

相较之下，青藤无相通过环境反馈驱动实时进化，凭借在线学习+强化学习+动态知识图谱，在威胁对抗过程中实时学习，并反哺模型训练。同时，基于 Act-Observe-Think-Act循环机制，自动修正模型参数，实现“发现 - 学习 - 防御”的实时进化。

4.功能展示

（1）IoT设备漏洞处理

（2）网络策略生成

（3）告警处置建议

附录：L1-L5级智能体技术分级标准