Ivanti 博客: 作者

智能体 AI 如何以机器速度实现自主威胁响应

Mon, 29 Jun 2026 14:00:02 Z

为什么如今安全团队收到的40% 的告警会完全无人调查？这并不是因为缺乏重视，而是攻击窗口不断缩短，再加上技术工具蔓延带来的压力所致。

如今的安全团队所处的威胁环境，正受到攻击升级、预算收紧和告警疲劳加剧的共同影响。组织平均每天处理960 条安全告警，大型企业则要在约 30 种工具中处理每天超过 3,000 条告警。累计下来，每月可能有 36,000 个潜在威胁从缝隙中溜走。这种不对称令人难以承受：攻击者只需一次成功入侵，而防御者必须每次都做对。

对组织而言，这一关键差距本质上是架构问题。威胁响应面临的最大挑战并不在于检测到了什么，而在于告警响起之后接下来会发生什么。

好消息是，智能体 AI正在改变这种架构。它不是取代现有工具，而是弥合检测与行动之间的运营差距。

安全速度问题

您部署的工具（SIEM、EDR、漏洞扫描器、SOAR 平台）都非常擅长检测。它们会发现威胁、归类风险并发送告警。但如果没有有效响应，检测就只是昂贵的记录工作。真正的瓶颈不只是知道哪里出了问题，而是能否足够快地修复问题，使其真正发挥作用。

了解更多：为什么传统漏洞管理在 AI 驱动的发现面前难以为继

传统安全运营遵循一个熟悉的流程：告警触发，分析师调查，作出决策，安排修复，变更获批……然后才采取行动。每一步单独来看都有道理，但放在一起，就会把团队限制在人类速度之内，而威胁却在自主推进。等调查完成时，对手已经完成横向移动。等补丁部署时，又有三个更严重的 CVE 被披露。

时间线上的差距十分明显。根据《2025 Verizon 数据泄露调查报告》，组织修复边缘设备漏洞的中位时间为 32 天，而威胁行为者会在公开披露时或披露之前就利用这些相同漏洞，实际上是按零日时间线运作。这一差距还在加速扩大：Mandiant《M-Trends 2026 报告》显示，从初始访问到移交给第二个威胁组织的时间，已从 2022 年的 8 小时以上缩短到 2025 年的仅 22 秒。

有效的安全模型需要由检测触发即时且智能的行动。现有能力，例如漏洞评估、终端管理、补丁部署和访问控制仍然保留，但运行速度更快、自主性更高。其结果是，安全运营能够以机器速度而非人类速度运转。

智能体安全的实际形态

在安全领域，智能体 AI 指的是执行端到端安全工作流的自主系统。它们从检测到决策再到行动，无需在每个步骤都等待人工批准。

智能体 AI 应在整个攻击面上运行，将检测、决策和响应作为一个统一系统进行协调。

自主漏洞修复

当关键 CVE 被披露时，智能体会立即评估整个环境中的暴露情况。它们根据可利用性和业务背景确定风险优先级，向受影响的终端部署补丁并验证修复结果。这一切都发生在分析师创建工单之前。人工监督仍然存在，但手动交接造成的延迟被消除了。

了解更多：基于风险的补丁优先级排序报告

智能威胁响应

当终端出现可疑行为时，智能体会关联 EDR、网络遥测和资产清单中的信号。受影响设备会被隔离；活动会话会被撤销；取证证据会被捕获，并向 SOC 发出包含完整上下文的告警。威胁在扩散前即被遏制，使分析师能够调查一个已被中和的事件，而不是正在发生的入侵。

持续合规态势

智能体会持续监控终端和服务器的配置漂移。当设备不再合规时，例如防火墙被禁用、加密被关闭或安装了未经授权的软件，修复会自动进行。配置会被纠正；事件会被记录，并验证合规性。合规不再是季度性工作，而成为一种持续状态。

访问风险缓解

智能体会检测异常访问模式，包括异常地理位置、权限提升尝试和异常数据访问。可疑会话会被终止；多重身份验证会被强制执行，访问权限会在验证完成前被降低。合法用户可以继续工作，同时横向移动会被实时阻断。

这些智能体可跨现有安全技术栈运行，包括 SIEM、EDR、漏洞管理、身份系统和补丁管理。作为协调系统的一部分，每种工具都会变得更快、更有效。其目标并不是取代安全运营，而是让安全运营能够以对手已经达到的速度运行。

了解更多：智能体 AI 如何改变基础设施与运营

从检测到行动：速度的架构

智能体 AI 带来的核心转变，是在检测点进行决策。安全工作流不再将感知与行动割裂开来，而是设计为在威胁出现时评估风险并立即响应。

当发现关键漏洞时，智能体不会只是生成一个工单供后续审核。它会评估安全架构师会考虑的相同因素：

该系统是否面向互联网？
它访问哪些数据？
是否已有已知漏洞利用在野外出现？
立即打补丁与延迟打补丁分别会带来怎样的业务影响？

这一决策会在毫秒内完成，而不是耗费数天。要实现这一结果，所需的不只是自动化脚本，而是能够理解上下文和后果的系统。

具备业务感知的风险评分

并非每个关键漏洞都具有相同的紧迫性。智能体会综合评估可利用性、暴露程度和业务影响。内部测试服务器上的漏洞，与面向客户的生产系统上的同一问题，其处理方式会有所不同。优先级会自动确定，理由清晰且经得起审查。

自适应响应阈值

智能体会随着时间从结果中学习。当某些行动持续产生误报时，阈值会调整。当新的攻击模式出现时，敏感度会提高。系统会在使用中不断改进，而不是随着条件变化变得更加脆弱。

保留上下文的升级处理

当智能体达到其自主边界时，升级处理包含推理过程，而不只是一个告警。检测到了什么、评估了哪些信号、为什么无法自主完成决策以及建议采取什么行动，都会传递给分析师。人工介入会聚焦于真正重要的决策，而不是分诊。

内置可审计性

每项行动都会连同完整上下文一起记录，包括触发因素、已评估数据、作出的决策和结果。合规性直接嵌入工作流，而不是事后再进行重建。

这对安全团队的影响是可衡量的。《2025 SANS 检测与响应调查》显示，73% 的组织将误报列为首要检测挑战，76% 的组织认为告警疲劳是 SOC 的主要担忧。这不仅仅是效率问题。当分析师把大部分时间花在从噪声中筛选信号时，安全计划从设计上就仍然是被动的。

其结果是一种不同的运营现实。检测会导向解决。告警会在出现时得到处理，而不是在队列中堆积。安全团队花更少时间响应昨天的事件，把更多时间用于防范下一个事件。

实践中会发生哪些变化

当智能体 AI 部署到生产安全环境中时，其影响更多体现为结构性变化，而不是孤立的成功案例。团队会在工作流结构、风险降低速度以及人工精力投入位置方面看到持续转变。

1. 行动时间大幅压缩

检测和响应合并为一个连续动作。过去需要等待数天进行分诊和排期的漏洞，在达到风险阈值时会被自动评估、确定优先级并修复。过去在调查期间会横向移动的威胁，会在检测点被遏制。可衡量的结果不仅是告警更快，而是驻留时间更短、风险降低更快。

2. 运营开销下降

过去会消耗分析师时间的常规安全工作，例如合规漂移修复、补丁协调和访问纠正，会转入持续的后台执行。报告不再是周期性突击任务，而成为正常运营的副产品。安全团队花更少时间管理流程，把更多时间用于作出判断。

3. 响应质量更加一致

当每次决策都使用相同的上下文输入时，响应行为会趋于稳定。类似风险会以类似方式处理，无论它们何时发生，也无论谁在值班。这种一致性可减少差异、降低人为错误，并使结果更容易向审计人员、高管和监管机构解释。

4. 人的注意力转向更高价值的工作

分析师不再被卷入每一个告警或轻微配置问题。只有在需要升级处理以及决策会实质性影响业务风险时，他们才会介入。其结果是告警疲劳减少、误报更少，并有更多时间用于威胁狩猎、事件分析和战略改进。

行业数据反映了这一转变的业务影响。根据 IBM 的《2025 数据泄露成本报告》，广泛使用 AI 和自动化的组织，每次数据泄露平均节省 190 万美元，并将数据泄露生命周期缩短 80 天。2025 年全球平均数据泄露生命周期为 241 天，达到九年来最低水平；即使速度只是渐进式提升，也能转化为显著的风险和成本降低。

这一模式是一致的。安全团队不再对积压事项作出被动反应，而是开始以威胁本身的节奏运行。

缓慢行动才是更大的风险

对安全领域中的 AI 保持谨慎是可以理解的。安全系统涉及关键基础设施。错误会高度可见，失败的后果也是真实存在的。等待更清晰的用例、更强的治理和经过验证的控制措施，可能看起来是负责任的选择。

挑战在于，底层风险环境已经发生变化。攻击者已经以机器速度运行，而大多数安全计划仍以人类速度响应。每推迟一周实施有意义的自主能力，这一差距就会扩大。暴露会悄然累积，并不是因为检测失败，而是因为行动跟不上节奏。

大多数组织已经具备必要的信号。SIEM、EDR、漏洞管理和补丁系统能够生成高质量的检测与上下文。制约因素在于执行。告警排队。工单等待。决策停滞。智能体 AI 通过缩短检测与响应之间的距离来解决这一制约。这个距离存在得越久，安全态势就越会偏离现代威胁的现实。

在实践中，对智能体安全的抵触往往更多是组织问题，而不是技术问题。AI 驱动结果的归属可能不明确。激励机制可能奖励流程遵循，而不是风险降低。团队可能把自动化视为对自身价值的威胁，而不是能力的延伸。

从运营角度看，情况通常恰恰相反。随着自主性增强，分析师的工作会变得更聚焦、更有价值。威胁狩猎、事件分析、对手研究和架构改进工作会扩展。手动分诊、补丁协调和重复性调查会减少。人的专业能力会被用于最需要判断的地方。

延迟采用智能体安全的组织并不是原地不动。它们是在选择一种无法匹配现代攻击节奏的响应模型。随着时间推移，这种不匹配会成为主要风险来源。

转变正在发生

安全运营正在摆脱被动模式，在这种模式下，检测会造成积压，告警会产生工作，响应时间线会延长到数天。领先的安全计划正在围绕主动执行进行重组，让系统持续感知条件、评估风险并采取行动。自主智能体吸收数量和变化带来的压力。人工团队则专注于战略、调查和改进。

这一转变反映出现代安全运营方式的变化。对手已经在自动化侦察、漏洞利用开发和横向移动。攻击推进不会等待工单分诊或审批排期。仍受限于人类速度工作流的安全计划，很难弥合这一差距。

更有效的组织之所以不同，在于它们已经准备好以不同方式运行。它们不仅为检测而设计，也为执行而设计。它们有意识地治理自主能力。它们衡量结果，而不是活动。随着系统学习、团队重新聚焦，这种运营模型会在长期持续累积优势。

安全领导者面临的问题不再是自主能力是否属于安全运营，而是他们的组织是否准备好以当前环境所要求的速度运行安全。

准备好弥合安全速度差距了吗？

了解Ivanti Neurons for ITSM如何实现自主安全工作流，以速度和控制力推动从检测到解决的流程。

隐形 IT 部门：如何借助智能体 AI 提供无摩擦体验

Thu, 18 Jun 2026 19:42:35 Z

每家企业都已采购 AI，但许多企业仍在等待投资回报。Ivanti 的《2026 AI 成熟度报告》发现，只有 2% 的组织表示目前完全没有使用 AI。随着大多数组织走出 AI 试验阶段，真正的竞争差异化因素在于 AI 是否能够持续、规模化地提供业务价值。

企业部署了用户置之不理的聊天机器人，实施了无人信任的智能体，并推出了各种“AI 驱动”工具，结果员工要么绕开这些工具，要么转而使用个人的影子 AI 工具。问题不在于 AI 能做什么，而在于您要求用户如何使用它。大多数组织将 AI 视为一项待部署的功能，而不是一种需要设计的体验。他们关注 AI 的能力，而不是用户真正需要什么。结果就是又一个闲置软件解决方案，带来的挫败感多于价值。

数字体验是区分成功 AI 部署与失败 AI 部署的关键环节。优先考虑 AI 用户体验的组织，能够识别会破坏用户信任的实施陷阱，并制定切实可行的框架来部署智能体 AI，在不中断业务的情况下带来改进。当 AI 和 IT 像隐形的超级能力一样发挥作用时，效果最佳。用户不会注意到技术本身；他们会感受到工作完成得有多顺畅。

AI 采用悖论

MIT 研究表明，约 95% 的企业 AI 计划未能交付可衡量的 ROI，其中大多数停滞在试点阶段，无法扩展为真正的业务价值。

这种情况是如何发生的：领导层批准 AI 计划，IT 部署技术，安排培训课程，跟踪采用指标；六个月后……却没人使用。聊天机器人无人问津，AI 助手被束之高阁，员工开始寻找替代办法，避开那些本应让工作更轻松的工具。

这并不是变革管理失败，而是因为没有理解当 AI 叠加在其他所有职场技术之上时，用户实际经历的是什么。

用户并不是为了 AI 而需要 AI。他们想要的是笔记本电脑启动更快、应用程序在演示中途不会卡死、视频通话不会延迟，以及在他们发现异常之前问题就已解决。当您强迫他们通过 AI 界面才能获得这些体验时，您已经失去了他们。

阅读更多：面向 ITOps 的智能体 AI 如何规模化释放价值

为什么大多数 AI 实施在用户体验上失败

走进任何企业 IT 环境，您都会看到同样的模式。AI 实施清单被严格执行：

已选择技术供应商
已部署平台
已配置集成
已完成用户培训
已正式上线

但六个月后，现实开始显现。2025 年 EY 调查发现，尽管部署了 AI，64% 的员工表示工作负载有所增加，而只有 5% 的员工表示他们正在最大限度利用 AI 来真正改变自己的工作。

IT 按照手册做对了所有事情，但问题在于，这本手册是由销售 AI 的人编写的，而不是由使用 AI 的人编写的。

以典型的 AI 聊天机器人部署为例，其目标是“增强自助服务能力”和“减少工单量”。但在实践中，这意味着过去只需给 IT 发送一条简短 Slack 消息的员工，现在必须：

进入一个单独的门户
琢磨如何用机器人能够理解的方式描述问题
在 AI 返回的不相关知识文章中筛选信息
最终放弃并照样提交工单，此时他们已经感到烦躁，并且比原计划晚了十五分钟

工单仍然会被创建，问题仍然需要解决，但原本不存在的摩擦现在出现了，因为您增加的是步骤，而不是减少步骤。

这就是根本性错误：把 AI 当作用户需要互动的界面，而不是为用户工作的基础设施。一旦您要求用户改变行为来适应您的 AI，您建立的就是阻力，而不是采用率。

数字体验：AI 证明其价值的地方

那些真正从 AI 中获得价值的组织，已经不再问“我们如何让用户采用这个 AI 工具？”而是开始问“我们如何利用 AI 改进用户已经在做的事情？”这是一个细微的转变，却会带来巨大的影响。

在数字体验管理中，AI 并不位于用户与其工作之间。它位于用户与混乱之间，例如性能下降、应用程序故障、难以解释的速度变慢，以及尚未显现但将在接下来 30 分钟内出现的问题。

这正是智能体 AI 从根本上改变可能性的地方。传统监控工具会在出现故障时提醒人员。而智能体 AI 会在故障发生前阻止它。这就像烟雾探测器与灭火系统之间的区别。

传统 IT 运营以小时甚至天来衡量事件响应。具备自主修复能力的智能体 AI正在从根本上改变这一等式：通过检测模式并在问题升级前执行修复，将平均解决时间从数小时缩短到数分钟甚至数秒。

实际情况可能是这样的：

传统 IT 运营：

用户的笔记本电脑开始出现磁盘故障的早期迹象。
传统 DX 工具标记该问题并创建工单。
IT 分析师需要查看警报、评估严重性、安排维护，并最终联系用户。
总解决时间：数天。
对组织的影响：计划内停机、数据迁移和生产力损失。

智能体 AI

借助智能体 AI，系统会在用户发现任何异常之前检测到这一模式。
智能体自主触发自动备份流程，预配替换设备，预置用户的应用程序和数据，并安排在低活动时段完成设备更换。
用户会收到一封电子邮件：“您的新笔记本电脑明早将在前台等候领取。您现有的设置已完成迁移。”
无需创建工单，无需升级，也不会造成中断。

这是同一个问题，却带来了截然不同的体验。

构建无摩擦的 AI 实施框架

实现隐形 AI 需要重新思考如何部署、衡量和扩展数字体验计划。真正从智能体 AI 中获得 ROI 的组织遵循一致的模式：优先考虑体验，而非功能。

从痛点出发，而不是从可能性出发

最糟糕的 AI 实施从这个问题开始：“这种 AI 能做什么？”最佳实施则从这个问题开始：“当前有哪些痛点、重复性工作，或哪些环节不必要地拖慢了用户？”

在梳理 AI 能力之前，先梳理您的数字体验痛点：

用户在哪些问题解决环节等待时间最长？
哪些问题会反复产生工单？
哪些性能下降会按可预测的方式发生，却没有被主动发现？
IT 在哪些不需要人工判断的任务上花费时间最多？

这些是 AI 可以消除的用户体验问题，而不只是“AI 用例”；两者之间的区别很重要。当您从痛点出发，最终得到的会是用户真正需要的解决方案。

将 AI 部署在体验背后

用户永远不应需要决定是否与您的 AI 互动，因为这是实施者应负责的工作。在实践中，这意味着：

在用户寻求帮助前就检测并解决问题的自主智能体，而不是需要用户主动求助的机器人。
在用户搜索前主动推送解决方案的预测性洞察引擎，而不是带有AI 驱动搜索功能的自助服务门户。
在获批护栏内自动执行建议的自愈系统，而不是需要用户手动执行的 AI 驱动建议。

这一模式始终一致：减少用户决策点、消除额外步骤，并降低对 AI 素养的要求。您的智能体 AI 应该不需要任何用户培训，因为用户永远不应与它直接互动。

衡量用户体验，而不是 AI 性能

大多数实施偏离方向的地方就在这里：它们衡量的是 AI 性能，而不是用户结果。

如果您跟踪的是 AI 交互次数、AI 响应时间、模型准确率分数或自动化率，那么您衡量的就是错误的指标。

相反，应衡量：

最终用户问题平均解决时间的缩短。Ivanti 的《2026 AI 成熟度报告》发现，45% 的 IT 员工表示 AI 让他们的工作更快、更好。
用户报告的对 IT 响应能力的满意度。
在用户察觉之前已解决问题的比例。
在重复性请求上节省的时间。
工单量的减少，这不是因为您在转移问题，而是因为您在预防问题。

支持 AI 自主性的治理框架

真正拖慢大多数智能体 AI 部署的并不是技术问题，而是如何让利益相关者放心接受 AI 在未事先请求许可的情况下采取行动。

自主级别	风险级别	示例操作
完全自主	低	清除缓存、重启服务、性能优化、例行修补
通知式自主	中	重置用户配置文件、重新安装应用程序、更新驱动程序
需要人工审批	高	重大配置变更、数据迁移、基础设施修改
人工主导、AI 辅助	关键	安全事件响应、合规决策、预算审批

关键在于认识到，随着 AI 智能体证明其可靠性，并且您的监控发现最初未曾预见的模式，“高风险”范围会随着时间推移而缩小。将AI 治理视为静态机制的组织，最终得到的 AI 往往能力不足，难以产生实质影响。将治理视为动态机制的组织，则能够让 AI 在保持安全的同时持续扩大影响力。

成功是什么样子

正在实施AI 驱动服务体验的组织，正在看到显著的满意度提升。PwC 研究发现，领先的实施项目在提升运营效率的同时，实现了 10-15% 的 NPS 改善。

围绕 AI 的讨论发生了变化。用户不再谈论 IT 如何妨碍他们，甚至开始不再谈论 IT，而这正是目标所在。IT 成为基础设施：隐形、可靠，并且只在被有意需要时才出现。

您的服务台会最先看到这种转变，例如：

工单量下降，不是因为您在转移问题，而是因为您在预防问题
升级减少，因为 AI 能在越来越早的阶段发现并解决问题
分析师的时间从被动救火重新分配到主动的系统改进
平均解决时间缩短，因为在旧模式下还未完成检测时，修复往往已经发生

对于最终用户而言，体验更简单：一切正常运行，应用程序响应迅速，系统可用，速度变慢不会演变成故障。同事抱怨的那些难以解释的性能问题似乎没有发生在他们身上，并不是因为他们运气好，而是因为 AI 智能体正在以他们看不见的方式持续优化他们的体验。

真正的采用指标，是用户不再想着 IT。不是因为他们忽视 IT，而是因为没有什么需要他们操心。

真正的选择：隐形 AI，还是被忽视的 AI

每个组织都将在数字体验管理中部署 AI。问题不在于是否部署，而在于如何部署；更重要的是，用户到底会真正受益，还是只是又被迫使用一个新工具。

这需要从根本上重新思考如何实施、衡量和扩展 AI 计划。如果做对了，您将改变组织对 IT 的认知：从成本中心转变为竞争优势，从被动救火转变为主动赋能，从必要负担转变为能够顺畅运转的隐形基础设施。

最好的 AI 就像最好的 IT 一样，是您永远看不见的那一种。用户体验到的不是您的技术，而是问题的消失。而这正是关键所在。

准备好借助智能体 AI 改善您的数字体验了吗？

了解 Ivanti Neurons for ITSM 如何部署在幕后运行的智能体 AI，在用户察觉任何异常之前预测问题、自主解决问题并优化体验。