股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
沙利文:AI XDR 2026 重新定义AI原生联动防御新范式
发布时间 :2026年05月06日
类型 :公司新闻
分享:
近日,弗若斯特沙利文(Frost & Sullivan,以下简称“沙利文”)联合头豹发布《AI塑造安全新范式——2026年中国AI XDR市场研究》。该报告的研究主题为AI应用爆发的背景下,中国的AI XDR向真实联动、全量联动、智能化检测响应、数据循环演进的技术路径,以及头部提供商在XDR真实联动方面的实力。
报告以中外AI XDR特征、AI XDR的核心功能、AI XDR相较于传统XDR的区别、AI XDR的产业意义和价值、以及重点行业(智能制造、新势力科技、金融、能源、运营商等)的安全场景应用为核心研究对象。研究周期覆盖2025年和2026年。
01
领先提供商在中国市场对AI XDR产品形态的打磨和塑造,标志着安全防御的核心范式发生了演进。
传统的中国市场安全范式,尤其是在政企、金融、能源等行业,长期以来以“治理风险”为主导,重点是合规性、审计和责任追溯。这种模式在攻防侧更多是被动防御与响应,并且依赖于安全运营中心(SOC)和人力干预。然而,随着全球威胁环境的日益复杂和多变,传统的“治理风险”范式在面对动态攻击、零日漏洞、复杂威胁链时逐渐显得力不从心,响应速度滞后、误报率高、检测精准性差,使得“防控攻击”成为未来发展的迫切需求。在这一背景下,领先提供商的AI XDR引领了安全新范式,在中国市场推动从“治理风险”到“控制攻击”的演进,缩短二者之间的代际差距。具体而言,是通过引入AI驱动的智能分析与自动化响应,提升安全防护的实时性、精准性。领先AI XDR的产品逻辑不仅加强了多源数据融合、跨域威胁关联、全量遥测,还增强了响应处置的智能化水平。
这种范式上的演进也将推动中国市场的AI XDR定位逐步升级,XDR将不仅是作为对传统安全治理平台的补充,更是代表了安全防御的一种新方向、新平台、新中枢,为未来的安全挑战提供可持续的技术路径。在近期第八届C3安全大会”上,我们看到国内外AI+产学研创投各领域专家与精英,聚焦智能体互联网时代的安全智联新命题。在这次大会上,亚信安全推出的是面向智能体互联网时代的、具备真实全量联动能力的防御系统AI XDR 2026。基于我们在本次研究过程中,对AI XDR核心能力、技术要素、技术路径的分析,我们认为,亚信安全的AI XDR 2026正是能够代表AI原生时代的联动防御解决方案。
02
传统XDR本质上是一个具备数据聚合、有限规则自动化的安全运营框架,而在AI XDR中,AI成为驱动整个安全运营生命周期(数据关联、事件研判、自动化调查、智能响应与交互)的核心能力;AI XDR通过架构范式的根本性重构,在多个维度实现运营效率的超越和突破。
传统XDR的特征在于
1. 数据机械化汇聚:传统XDR进行数据工程的目的是为了服务于规则驱动的检测范式,数据采集以安全告警为核心;在数据规范化方面,以字段映射为准,缺乏解析技术,用户、主机、进程、账号、云资源等对象通常只作为字段出现,而未被抽象为一等实体,难以支撑跨域、跨时间、跨语义的行为分析。
2. 规则/特征驱动的检测:传统XDR的检测逻辑高度依赖IOC、恶意代码签名、已知攻击模式以及人工编写的关联规则,核心目标是检测出具有明确特征、已知战术、技术与程序的攻击行为,但告警噪音高,系统在识别跨阶段、跨实体、跨攻击面的复合攻击行为时,往往出现逻辑断裂。
3. 跨域的告警聚集:传统XDR虽然能够汇聚不同来源的异构数据,但数据关联逻辑受限于预设规则,且缺乏对数据背后实体及业务上下文的深层建模。故而输出的更多是告警合集。关联逻辑依赖安全运营团队的预定义和维护,存在显著的滞后性。
4. 调查门槛极高:传统XDR的调查范式本质上是专家驱动的手工分析与数据检索,技术实现依赖于门槛较高的专业化工具链,分析师需精通平台特定的查询语言、在多视图界面之间进行手动关联与上下文切换,难以标准化、规模化,安全运营效率难以提升。
AI XDR的特征在于
1. AI XDR平台从工具走向“智能体矩阵”:当前AI XDR技术演进的第一大特征,是从传统安全工具向“智能体矩阵”的跃迁,内嵌资产管理、风险分析、漏洞管理、联动处置等智能体,覆盖从威胁检测到响应处置的全链条。在技术架构层面,AI XDR不仅汇聚多源数据,更强调将用户、终端、进程、账号、云资源及邮件对象等多元信息实体抽象为统一的安全实体语言。通过跨数据域的实体对齐技术,平台将同一实体在不同系统中的孤岛标识(如用户名、UID、ID等)聚合归一,构建具备高可推理性的上下文语义结构。这一设计意味着AI已不再仅仅是辅助决策的工具,而是开始直接接管安全运营,推动防御体系从“被动响应”向“自主防御”演进。
2. AI原生引擎助力安全数据“降熵”,驱动智能检测:安全数据湖的实时“降熵”机制正成为AI XDR的关键能力,通过样本库与AI实时标注的融合,构建安全智能数据的正循环体系。安全产品从“AI辅助人”转向“AI原生”不仅仅是可选项,更是智能体时代企业维持生存韧性的必然要求。在此背景下,AI XDR依托AI原生引擎,对用户、主机、进程、账号、云资源等核心实体进行长期行为建模,检测机制聚焦行为是否偏离历史常态或群体基线,而不再依赖明确的攻击特征。针对缺乏稳定标签的高级威胁,AI XDR利用无监督学习算法,挖掘实体间隐蔽且非线性的关联模式。
3. 体系化联动防御,实现攻击链的真实贯通:旧的安全建设模式已触及天花板。用户需要的不是再采购一个设备、再上线一个产品,而是底层逻辑的彻底重建——在联动防御的基础上,打造数据驱动与AI原生的新体系。领先AI XDR方案通过智能算法补齐、还原攻击事件的完整上下文脉络,联动规则引擎对多源安全事件进行时间序列分析与模式识别,并借助数据挖掘方法精准研判事件间的弱隐蔽相关性,自动重建攻击路径的碎片片段,形成闭环、真实且可逆向溯源的攻击链条。
4. 构筑MDR运营体系,重塑人机协同:MDR运营体系的深度协同正在成为AI XDR的另一重要演进方向——将AI XDR与7×24小时的专家运营深度绑定,实现从“智能检测”到“可托管守护”的闭环。在这一框架下,AI XDR进一步引入AI协同调查代理,为安全管理团队构建自然语言驱动的自动化证据链生成与知识沉淀系统。AI XDR不仅支持自动化的多源查询匹配及证据链的动态拉取与映射,还能够提供优先级排序的智能处置建议,使得普通安全分析人员能够处理原本需要高级安全专家才能完成的深层证据链与攻击还原过程。从产业研究视角看,这一进化将人的角色从疲于奔命的“救火队员”重塑为运筹帷幄的“战略大脑”,从而实现人机协同与MDR可托管守护并行的安全保障路径。
03
AI XDR的重点技术路径在于具备安全语义的数据底座、智能化威胁认知引擎、混合检测架构、精细化的响应编排与处置机制。
构建统一多域安全语义的数据底座
AI XDR核心技术的实现,依托于一个能够统一采集、建模、关联并持续丰富多域安全数据的智能化数据底座。实现这个数据底座的路径在于:①通过原生轻量级传感器与开放API管道,从终端、身份、邮件、网络、云进行全栈、连续、低延迟的遥测采集;②数据被实时注入开放表格式(如Apache Iceberg)的规范化数据湖,通过实体解析引擎对齐不同来源的身份标识,例如将云资源ID、主机名、IP地址、容器实例,或将SSO主体、邮箱、账号ID进行统一建模与去重;③基于上下文管道,为每个实体和事件动态附加资产关键性、威胁情报信誉、漏洞状态及行为基线等业务语义。
构建基于实体图谱与时间索引的威胁认知引擎
AI XDR的分析底座由实体图谱和时间线索引构成:①实体图谱是以图数据库技术为基础,将用户、设备、进程、网络会话、云资源等核心安全实体及交互关系进行建模,构建一个动态的、富含语义的安全知识网络;②时间索引是为图谱中的每一个实体和交互事件提供精确的时序锚点,形成一个全局、高密度、可回溯的活动序列,使调查引擎能够从任意一个关键证据点出发,向前溯源攻击根源(如投递载体),向后追踪影响范围与后续动作,从而动态、连贯地重构出完整的攻击叙事。
融合规则 、行为分析 、机器学习(ML)的混合检测架构
AI XDR检测层的重点特征之一在于,能够显著提升系统对“低慢小”攻击、多阶段攻击的覆盖能力。实现这种能力的技术路径,一方面是基于已知TTP、IOC的规则检测和确定性检测,另一方面,通过行为分析与ML对核心安全实体(用户、设备、进程、网络会话、云资源等)建立动态行为基线,从海量噪声中提取弱信号,并在时间维度上将跨域、跨资产、跨阶段的异常活动进行组合识别,弥补规则检测的盲区。混合检测架构输出的不再是需要人工解读的告警列表,而是具备时间线、阶段映射的运营对象。
构建更精细化的响应编排与处置机制
AI XDR在响应编排与自动处置层面的技术目标演进为“更加精细、可控的响应”。在动作层面,处置对象不再停留于粗粒度的域名封禁、主机隔离或账号禁用,而是能够沿着统一语义模型,细化至文件、进程、服务、注册表项、网络会话、API Token或云资源权限等操作单元。为实现这一能力,响应编排通过剧本引擎将事件结论映射为条件化动作链,并结合分级自动化策略,对高置信、低业务风险的场景执行端到端自动处置;对中低置信或高影响场景,引入安全分析师进行动作级审批。
04
对于安全产业而言,AI XDR出现的意义并非仅仅体现在技术层面,而更是对安全运营理念、安全架构、安全产业生态和商业模式的系统性重塑。
为什么说AI XDR引领了安全新范式?
领先提供商在中国市场对AI XDR产品形态的打磨和塑造,标志着安全防御的核心范式发生了演进。传统的中国市场安全范式,尤其是在政企、金融、能源等行业,长期以来以“治理风险”为主导,重点是合规性、审计和责任追溯。这种模式在攻防侧更多是被动防御与响应,并且依赖于安全运营中心(SOC)和人力干预。然而,随着全球威胁环境的日益复杂和多变,传统的“治理风险”范式在面对动态攻击、零日漏洞、复杂威胁链时逐渐显得力不从心,响应速度滞后、误报率高、检测精准性差,使得“防控攻击”成为未来发展的迫切需求。在这一背景下,领先提供商的AI XDR引领了安全新范式,在中国市场推动从“治理风险”到“控制攻击”的演进,缩短二者之间的代际差距。具体而言,是通过引入AI驱动的智能分析与自动化响应,提升安全防护的实时性、精准性。领先AI XDR的产品逻辑不仅加强了多源数据融合、跨域威胁关联、全量遥测,还增强了响应处置的智能化水平。
AI XDR真正意义上的联动,不仅是跨数据源、平台、技术层级、资产管理等多个维度的智能化协同,更是在攻击检测、响应决策、自动化执行等多个环节的高度集成与实时反应,目标是打破传统的信息孤岛,实现不同安全系统、数据源和防护工具之间的无缝协同与智能分析。对于中国市场而言,这样的联动模式突破了传统安全范式的防护局限,还能够解决多元场景中数据孤岛和手工干预滞后的问题,并能够通过资产梳理与智能化决策,为合规性要求、行业特定需求、实时防护能力提供全方位保障。这种多层次、多维度的联动能力,将是未来智能化安全防护的中枢。
05
中国市场当前的AI XDR产品形态既反映了中国复杂IT与安全环境对确定性、可治理性与可落地性的长期要求,也体现了提供商在AI能力、平台化程度与生态策略上的差异化选择。
中国市场的AI XDR(AI XDR/XDR+GPT),与美国市场的相同之处在于,都用于解决传统安全产品孤立、告警过载、运营效率低下的难题,在技术实现的层面都将跨域数据集成与关联分析作为核心,都强调通过数据关联、AI分析与自动化来提升威胁检测与响应效率。
与美国市场不同的是,中国市场的AI XDR形成于高度异构、部署形态复杂、边界条件多样的业务环境之中。私有化部署、多品牌安全设备共存、信创技术栈并行,使得AI XDR在产品能力和架构设计上更强调对复杂现实条件的适配能力。但随着中国IT治理环境的持续演进,以及全球攻击技术向多阶段、跨域、自动化方向发展,中国市场的AI XDR产品形态正在发生结构性变化。一方面,越来越多的AI XDR开始以统一数据建模、事件化表达与跨域关联分析为核心能力,而不再局限于对单一技术域或局部场景的覆盖;另一方面,部分提供商已明确将AI XDR打造成独立的分析与决策平台。这标志着中国市场的AI XDR从以环境适配与治理为主导的技术路径,向兼具平台属性与智能决策能力的新范式演进。根据沙利文数据,2025年中国威胁检测与响应市场总规模约达到25亿元。
(本文来源:弗若斯特沙利文联合头豹发布的《AI塑造安全新范式——2026年中国AI XDR市场研究》)
分享到微信
X