从算法选择到大模型应用的实践及需要警惕的误区

•按照网安标委2024首次u标准周会议"组委会工作要求,我承担了一个大模型与网络安全相关的报告任务,之后我上报了《大模型对网络安全的价值和•因我对大模型领域也是在摸索尝试阶段,担心做全局梳理和提炼高度不够,于是用自己熟悉的威胁检测与特征工程工作视角来带入,把算法选择问题作为入口(第一节),也借着这次报告任务对我们自身的特征工程体系的工作轨迹进行了梳理总结(第二节),之后展开几点泛化思考(第三节)。•但为避免在公共技术会议中出现太多自身工作,因此在2024年6月24会议公开报告的版本,在第二节只保留了两页内容,但也使报告内容完整型受到了影响,这一分享版本是我的底稿我调整了报告标题并对错误作了修订。•PPT中途做了两次小范围分享会有一些内容是不一致的(但这不影响正确的使用)。2从我们的特征工程运营实践看赋能体系的智能化演进///具有大规模参数和负责计算结构的机器学习模型,由深度神经网络构建,能够提高模型的表达能力和具有大规模参数和负责计算结构的机器学习模型,由深度神经网络构建,能够提高模型的表达能力和预测性能,能够处理更加复杂的任务和数据。更高的检测精度自适应学习能力实时响应复杂行为不局限分类任务的,超级的被认为是无敌的….(RNN)处理序列数据的神经网络架构,通过在序列的每个时间步上共享参数,并使用其前一步的隐藏状态,使得网络能够捕捉序列中的时间依赖性。时间序列分析、自然语言处理等任务卷积神经网络高效地提取图像中的空间特征。被认为可发现未知威胁,卷积神经网络高效地提取图像中的空间特征。被认为可发现未知威胁,(CNN)长短时记忆(LSTM)长短时记忆(LSTM)生成式对抗无监督深度学习模型,通过生成网络G(Generator)和判别网络D(Discriminator)不断博弈,从而生成图像为其他模型生成训练数据补全缺失的信息(GAN)从给定的训练数据集生成更真实的新数据。根据2D数据生成3D模型等监督学习,通过一个或多个自变量与因变量之间进行建模的回归分析,其特点为一个或多个称为回归逻辑回归监督学习,根据给定的自变量数据集来估计事件的发生概率,由于结果是一个概率,因此因变量的范围在0和1之间基于概率分类随机森林曾在本世纪初前十年大量出现在中的曾在本世纪初前十年大量出现在中的分类、回归和异常检测任务,识别新的或未知异常支持向量机(SVM)在一组数据进行排序或选择的过程中,通过给不同数据项分配不同的权重,以优化模型性能和提高预测准确性。签名检测代码的签名特征与恶意代码库进行对比,判定。模式匹配把任意长度的输入(又叫做预映射),通过散列算法,变提高存储空间利用率,提高数据查询效率,””•X86、Mips、ARM、以及国产架构：飞腾、龙•windows、linux、以及国产操作系统：中标麒麟、银河麒麟、中科方德、凝思、•X86、Mips、ARM、以及国产架构：飞腾、龙•windows、linux、以及国产操作系统：中标麒麟、银河麒麟、中科方德、凝思、•具有海量的病毒检测规则，且检测速度极快，约为其他引擎产品的2-兼容性及性能•感染式病毒、蠕虫、木马、黑客工具、风险软件、已知威胁精准检测 •感染式病毒、蠕虫、木马、黑客工具、风险软件、已知威胁精准检测 恶意代码环境前缀恶意代码环境前缀识别及拆解能力•支持识别：可执行文件、包裹、文档、媒体文件、图片文件、软件关联格式、脚本、文本格式、其它格式等九大类格式•格式数（含版本）298 识别及拆解能力•支持识别：可执行文件、包裹、文档、媒体文件、图片文件、软件关联格式、脚本、文本格式、其它格式等九大类格式•格式数（含版本）298 •可深度拆解的可执行程序的种类：下载器、释放器1•可深度预处理的复合文档的格式数•可深度拆解的可执行程序的种类：下载器、释放器1•可深度预处理的复合文档的格式数知识标签•覆盖ATT&CK技术点171个覆盖•包括威胁类型、漏洞、黑客组织、武器装备、属性等知识标签及描述3•包括威胁类型、漏洞、黑客组织、武器装备、属性等知识标签及描述3•包括恶意代码类别、平台、行为、家族等知识标签及描述超过70/启发式检测N/A较强依赖测试较大依靠多个提取判断点生成值域本地检测启发式检测N/A较强依赖测试较大依靠多个提取判断点生成值域本地检测+CNN++高检测已捕获脚本样本及其变种低高高千本地检测网络快速扩展检测能力,全对象全量或局部IO+匹配本地检测网络万强依赖测试+高依赖测试较低全IO+向量提取+匹配本地检测(向量情报扩展)较低/()感染式对象、无法提取长特征高局部IO+匹配包和非完整流检测、部分本地检测。检测已捕获样本及其变种,二进制对象、脚本对象预处理结果弱较低,构造风险网络资源和延迟(云查时)无HASH/CRC检测已捕获样本,全对象无极低,构造风险全对象IO+HASH计算+值查找云查(含误报处理)无特征发散样本家族非等长依赖测试较高提取点计算搜索匹配加权比较本地检测高特征发散样本家族等长依赖测试高提取多个维度判断点+概率计算本地检测高特征发散样本家族等长依赖测试较高提取多个维度判断点距离度量距离比较本地检测高特征发散样本家族等长依赖测试较高提取多个维度判断点最优分类超平面本地检测高检测已捕获样本及其变种,独立载荷对象等长较高极低全对象IO+模糊HASH计算+值查找本地检测无注意力框架长(处理大规模数据)高(需要高性能集群或云服务)低(依赖问题类型和模型设计)高(具备广泛的泛化能力)新兴(适用于特定大规模应用)递归神经网络(RNN)、卷积神经网络(CNN)、长短时记忆(LSTM)、生的神经网络)相对较高(需要GPU等高性能硬件)相对较低(通过数据驱动优化)相对较高(可能受到对抗性攻击的影响)相对新兴(需要大规模数据和算力支线性回归逻辑回归、决策树随机森林、支持向法等相对较短(依赖算法复杂度)相对较低(可能需要中等算力)相对较高(处理复杂模式)相对较低(通过数据增强和集成学习提升)相对成熟(需要数据准备和模型训练)特征码匹配正则匹配特征哈希匹配全哈希值域计算和加权等极短(简单算法)极低(不需要大量数据和复杂计算)极高(通过大规模数据和训练获低(受模型设计影响)成熟(易于部署)/基于能力消费(使用)的视角•实时反应:要确保99%的防护和拒止动作都是实时完成的,而不是都需要等待异步的DR环。•精确的命名:对检测结果"Trojan/Win32.lockbit[ransom]”这样准确的分类命名,而不仅仅是提供"有害"、"疑似"这样的模糊似检出率90%,误报率3%当成一个好结果。时监测场景下几乎没有价值,或者只能是现代检测引擎体系基于工程约束其局限性的一个局部分支。/基于特征工程运营侧的视角【安天在特征工程体系中运行的基本规则】测能力,而不是基于一个小集合样本进行训练,并基于增量集合进行验证•最短的响应时间:新样本(包括客户反馈的误报漏报,甚至错报)要用尽量短的时间完成定性,转化为分发和升级,对象的判定和提取时间代价需要是分钟级(含动态分析环节),而不是允许用更长时间调节•精确判定:威胁对象需要形成输出准确的分类、家族、变种名称,而不是仅仅给出黑白结论•误报会带来更大的麻烦:在引擎工作中误报不能绝对避免,但后端不能进行会导致明确的误报的输出,而不是为了检测能力提升,直接容忍误报是试图用统一集合适配所有场景。•充分但不是无限的算力:安全企业比客户拥有更大的安全分析算力,但所有的安全能力生成都有代价,厂商和用户的算力都不是无限的,安全产品的设计要充分考虑算力的要求,而不是假定有无限的算力•增量而非全量的升级:流量和带宽不是无限的,要使用增量升级降低用户获取成本,缩短用户获取安全能力的时间,而不是每次分发全量•支持云查:规则扩张必然导致无法把所有规则都部署在本地,需要用云侧来进行弥补,用最小的交互代价,让云上的安全能力弥补本地库的局限,特征需要是可查询的,而不是把所有的文件上传到云端分析基于以上原因基础检测能力必须以一个海量对象特征工程的方式来持续运行,绝大多数算法都无法支撑这个运行体系的主闭环。一部分算法被用于辅助对象判断多源联合分析异构数据分析等多数使用在充分算力的生产场景和客户侧的管理中心、XDR、SOCO人际外部协同人际外部协同外部赋能与生产（共性的、广谱的）认知情报威胁情报与检测认知情报威胁情报与检测能力认知情报易忽规则与威胁情报难安全产品/规则与威胁情报难安全产品/网空防御是一套有赋能的人机系统,网空防御是一套有赋能的人机系统,要把能力和智力合理的分布在体系中,更多的智能运用是基于多源融合和群体协同,而不是把边威胁对象分析威胁情报汇聚生产和发布服务运营和私有化生产网络边界和流量检测主机系统防护面向海量的样本对象,依托大规模集群算力节点,承载动静态分析鉴定工作,支撑规则和威胁情报生产,通过共性能力实现全局防御资源的集约化。面向大量的自产规则、情报和开源情报,依托一定规模的分布式节点。面向政企机构自身,在多种日志和告警数据上的处理,针对自动化机制不可识别、处置的情况驱动处面向网络流量对象,安装在网络出口和关键网段,由载体设备承载,实现访问控制和流量过滤检测。面向操作系统和应用安全环境,通常使用系统本身的算力,实现威胁检测和防护等工作。分析和生产基于云查询、云分析和反馈支撑响应闭环。汇聚、判断和决策,使准实时和异步的OODA环闭合,支撑PDCA环。即时反应(拒止)异步响应,支撑NDR的采集和响应即时反应(拒止与处置)异步响应,支撑EDR的采集和响应。丰富的大量的相对充分的较低极低高度集中的集中的集中的分散的用于大规模集中的对象分多源汇聚分析集中日志分析和批量的对采集、元数据化、分布式、采集、元数据化支持、分从我们的特征工程运营实践看赋能体系的智能化演进从我们的特征工程运营实践看赋能体系的智能化演进•安天研发反病毒引擎24年,累计实现了超过四十亿节点的安全赋能,覆盖终端、云、流量、业务等场景,并为支撑引擎持续升级构建了一套威胁分析的流程框架和自动化分析平台(赛博超脑)。•面向总量达百亿的,日均增量超过200万个执行体对象(含含白)构建了大规模特征工程体系,以支撑检测能力的持续升级。•依托感知和分析能力,我们多次捕获、深度分析了源自最顶级攻击者的APT攻击事件和样本,支撑了溯源研判工作,并发布了大量公开分析成果。•承担多个国家级/省级的威胁采集/分析或态感平台的建设和运营支撑。•基于威胁对抗的体系运行和工作流程,持续为改善威胁检测和分析能力并提升自动化水平,历史上进行了大量的算法层面的尝试选择优化和淘汰。19861995199520022002200520052012201220162016~2022操作系统和软件规局网应用成熟Internet发展操作系统日趋复杂网络主渠道应用大网络经济大发展催生地下经济体系,网络计算、云大数据技术和工程体系大模型平台技术取得突辨识压力超越处置压力样本和正常应用都以几何大国博弈和地缘安全风险,传统恶意代码融入网空杀伤链突防能力增强,攻击战术持续丰富化更高水平的自动化攻击反病毒范式最基础征自动化提纯技术(针对非解决分析员作业和样解决海量样本的自动化判有力支持大规模样本的同源分析威胁溯源和载荷检测和战术能力的大模型的深入赋能,场景的有效融合,copilotPE特征自动化提取(2001)脚本特征自动化提取(2002)集成化人工分析环境(2004)集成自动化分析的样本管理平台(2004)基于决策树的自动化分析机制(2004)基于对象指令和结果三总线的第一代自动化流水线(2011)基于分析向量扩线的APT分析(2013)基于人机协作的的第二代自动化流水线(2016)基于海量移动端的威胁情报运营(2016)平台和海量边缘计算的端到端赋能运行(2017)ATT&CK威胁框架与载荷的映射运营(2021)向量情报的战术映射与运营(2019)本体建模与图谱化情报环境(2022)指导全量执行体分析的新方法框架(2023)VILLM威胁分析垂直大模型(2024)•2002~2006:人工集成化分析、样本管理平台+批量自动化分析•2006~今:第一代样本分析流水线•2006~今:第二代样本分析流水线,与海量边缘计算端到端协同运行•2016~今:威胁情报与知识工程的尝试与演进•2023~今:大模型的叠加与改进结构复杂度:特征码可以基于增加长度或跨越结构来降低误报。(质量控制)A范式:病毒特征码的本质是一个能够唯结构复杂度:特征码可以基于增加长度或跨越结构来降低误报。(质量控制)A范式:病毒特征码的本质是一个能够唯一标识该种病毒的内容表达。(即不能出现于正常文件种,也不宜出现在其他病毒中)(必须遵守的)功能特异性:特征码如能对应该种病毒的特殊功能,则该特征码具有表征价值。(价值增量)恶意代码分析基地基本支撑环境▲样本分析的早期工序规划(2004)多机构的联合分析运行规划样本分析的早期工序规划(2004)2001年,安天完成了特征自动化提取的基本范式设计,并在主机引擎场景(2001)和网络高速引擎场景(2002)完成了落地。后来我们概括为特征的A范式模型。其基本逻辑是基于A范式形成可用预选,并基于功能特异性和结构复杂度来进行选择和质量调节。集成分析环境:PE样本静态分析集成分析环境:交互式行为分析存储子系统中心办公区人工分析数据挖掘服务器数据交互服务器升级及系统策略管理服务器预警服务器样本索引数据库服务器静态分析服务器组周期性多引擎服务器组安全事件分析服务器安天的第一代样本分析流水线(2006~日志管理服务器安天的第一代样本分析流水线(2006~今)的建设,围绕大规模增量样本的分析与特征提取全量样本的遍历测试等任务目标完成。由分拣(预处理)、样本自动分析(静态)、人工分析子系统连接组织,后续扩又扩展了自动分析、样本养殖(BotNet监测),整体上支撑了分析能力的弹性扩展,实现了日百万量级的样本自动化分析能力,确保了基础检测引擎面向生态伙伴的持续赋能。安全事件接收存储子系统中心办公区人工分析数据挖掘服务器数据交互服务器升级及系统策略管理服务器预警服务器样本索引数据库服务器静态分析服务器组周期性多引擎服务器组安全事件分析服务器安天的第一代样本分析流水线(2006~日志管理服务器安天的第一代样本分析流水线(2006~今)的建设,围绕大规模增量样本的分析与特征提取全量样本的遍历测试等任务目标完成。由分拣(预处理)、样本自动分析(静态)、人工分析子系统连接组织,后续扩又扩展了自动分析、样本养殖(BotNet监测),整体上支撑了分析能力的弹性扩展,实现了日百万量级的样本自动化分析能力,确保了基础检测引擎面向生态伙伴的持续赋能。安全事件接收服务器#1黑名单仓库安全事件接收服务器2#事件汇总预处理服务器白名单仓库系统运维管理WEB服务器中央控制服务器人工分析任务控制服务器样本分析扫描服务器组待定样本仓库安天第一代流水线的部署拓扑安天作为引擎后发者,在PE、脚本、复合文档等检测分支上,用了超过16年的时间追赶卡巴斯基的深度解析和预处理能力,因此在这些分支上采取了先基于后台分析实验新方式和能力,成熟后迭代到引擎的路线安天第一代流水线的设计安天第一代流水线服务的价值场景是支撑反病毒引擎对网络安全生态伙伴(主要是防火墙厂商)的嵌入赋能,以及兼顾支持国家应急体系的分析"、-反馈型闭环,而不是支撑大量OODA环。流水线也是以分析效能最大化兼顾可以细粒度管理的目标展开的。整体框架设计为依托对象总线指令总线和结果的三总线调度机制,实现弹性的算力扩展和新的子系统向流水线的灵活挂载。对照系统样本比对跟踪检测比对跟踪样本捕获及时性样本流转对照系统样本比对跟踪检测比对跟踪样本捕获及时性样本流转优化引擎检测优化现实训练数现实训练数据目标数据分类器非现实训练数据拟合判定非现实训练数据拟合判定目标数据聚类目标分类器产品能力跟踪产品能力跟踪快速检测响应/拟合判定反馈和驱动交叉比对结果算法模式修订算法模式修订产品策略人工作业安天的第二代样本分析流水线(201l1~今)检测引擎特征更新移动互联网流量互联网数据流量样本上报、样本交换样本捕获和采集样本预处理样本采集接口Web应用接口更新和接口支持恶意代码样本库恶意代码云支撑库后端分析支撑体系恶意代码样本库恶意代码云支撑库后端分析支撑体系样本人工分析恶意代码自动化分拣恶意代码事件恶意代码行为数据预处理检测结果检测结果检测结果检测结果形成模块引擎反馈信息引擎反馈信息预处理模块构体功能模块控制模块检测逻辑控制模块核心检测模块特征库文件特征库加载模块安天移动侧引擎作为技术先发者,从开始就按照了深度预处理多分支冗余检测的思路,因此在第二代流水线中,是按照引擎复用于静态分析的同构设计。设计极致执行了大规模自动化分析对人工分析降维,再将人工分析经验迭代回滚到自动化的运营理念。并基于第一代流水线的样本综合分析效能导向,将分析向量的运营到达精细粒度,保证了分析能力的生产力导向分析流水线分析流水线++威胁事件驱动业务需求牵引威胁事件驱动业务需求牵引基础特征和向量数据是一致的目标样本样本库>样本捕获>输入训练数据机器＋数据＋多边生态能力基础特征和向量数据是一致的目标样本样本库>样本捕获>输入训练数据机器＋数据＋多边生态能力人工分析机器分析机器&人工分析数据集合人工作业面向聚类和分类标定进行输出e倾向于分析/判定/关联等知识生成人工分析机器分析机器&人工分析数据集合人工作业面向聚类和分类标定进行输出e倾向于分析/判定/关联等知识生成学习聚类训练分类训练其它半监聚类训练分类训练其它半监督训练和学习策略倾向于检测/识别等知识输出结构化知识库归一化模倾向于检测/识别等知识输出结构化知识库归一化模型分类标签输知识化引擎云加速引擎知识化引擎云加速引擎分类器和基准聚类器本地引擎重新定义自动化分析调度策略和模式，引入新的边缘计算调度模式重新定义自动化分析调度策略和模式，引入新的边缘计算调度模式,,+是其与赋能端的边缘计算视为一个整体,从而强化端到端的安全赋能,在一个海量端点的体系中实现威胁分析响应的高速OODA环。移动威胁情报的探索移动威胁情报的探索(2017规划采集加工分析要求感知处理生产反馈、规划采集加工分析要求感知处理生产反馈、消费改进消费改进私有化情报生产(知识工程共同运营的尝试)(2019)ATT&CK威胁框架作为能力指标的引入(2020) 在特征工程体系建立完善后,在反病毒引擎升级之外叠加c威胁情报"的输出成为自然的选择在宽频尝试的挫折后,我们整体上回归到基于引擎提供面向执行体高质量、基于实证可以指引行动的向量级威胁情报在进入政企产品业务,尝试将全线产品体系能力对接到杀伤链到威胁框架指标,但这对原有基于样本对象的特征工程运行带来了巨大挑战ATT&CK和TCTF的引入尝试都没有找到类似海量样本分析的归一化"的有效方式,试图引入MBSE的应对复杂性问题的努力是不成功的,将本体模型引入到网升检测效果但也带来了更多心智负担。辅助公共知识生成VILLM辅助公共知识生成增强威胁检测辅助同源分析发现很多事情是办不到的,将辅助能力锁定到增强威胁检测辅助同源分析发现很多事情是办不到的,发现很多事情是办不到的,转向面向安全服在初期的探索阶段安天的工程师们尝试了用开源模型建立僚机系统进行分析辅助工作,但很快陷入了困境开源模型无法摆脱词表的限制、同时在分析字节数据时存在大量的Token浪费,上下文的处理性能难以满足样本分析的的场景。在分析对比了多种开源方案之后,安天选择了在基于海量执行体样本数据的基础上,开始自研生成式模型。聚焦在二进制对象,突破Token和上下文限制进行展开,目前初步形成了点突破。99.48%完全准确率99.48%完全准确率11DGA检测:95.62%128上下文恶意行为检测:94.25%DGA检测:95.62%128上下文恶意行为检测:94.25%512上下文CIFAR10:52.4%3192上下文MNIST:94.76%800上下文FiFTY文件格式取证分析数据集达到SOTA水平SS512集合准确度72.6%在开发VILLM中,将基础的文字理解任务和图像理解识别任务场景,转换到检测分析恶意代码分析全量执行体生成知识,每一项任务都面临着海量数据的存储算力和配套的能耗限制。同时也让安天的工程师更深刻的认识到,过去的分析经验中有着大量难以形式化的知识经验需要由模型来学习继承。在解决每一项性能挑战的同时,我们也清晰的认识到模型距离网络空间安全的通用智能还有很长的路,目前模型仍是工程师的辅助手段。11,904,5612672开源模型VILLM-256K百兆网络Token7,283,5//AC-BM自动机、KMP样本辅助分析CNN、LSH等BP神经网络等大量算法局部IO对象高性能散列计算MD4CRCMD5SHA1SHA2启发式检测决策树、朴素贝叶斯、SVM同源分析局部敏感哈希LSH、随机森林K-meanKNN本地检测、网络缓存BloomFilter知识存储AVML(自定义)、JSONOWLRDFXML基础模型自研模型VILLMBertRWKVBloom•恶意代码监测能力的持续迭代改善升级,是基于归一化的基本思想支撑的大规模特征工程的持续迭代,所有算法和实现路径都服务于这个过程。•我们目的性很强,所以我们本质上不关心智能,只关心自动化。方法是服务于效能,而自动化是效能的关键。•有多少人工,就有多少智能,这是大规模特征工程体系智能演进的要义。•具象的技术都会死亡,但工程永远长青,因为工程体系是不断迭代的。•远离工程支撑或不能转化为工程逻辑的的创新都会失败,导致工程目标发散的创新会导致工程失败。•不要试图创造算法,我们需要的算法一定存在,为需求寻找算法,而不是为算法寻找场景。•任何基于网安向应用领域的泛在都值得警惕(比如我们基于威胁情报平台走向通用的Palantir是不成功的,)。•大模型不靠谱的原因很可能是我们自己不靠谱。安天病毒通缉令每年更新,都需要设计师数月时间才能完成的手绘画稿,在小组搭建了一个开源大模型的设计工具后,VSVS基于同一个知名的恶意代码内容词条,秘塔Al所搜的实体抽取、知识逻辑生成显然好于我们的自动化词条,哪怕这个恶意代码的历史分析报告成果很大比例是安天贡献的。在具有丰富公开资料支撑的知识性内容方面,显然通用大模型具有碾压性优势,但安全厂商依然拥有特征工程所支撑的深源优势。•OpenAI+ChatGPT在领跑,而且是加速领跑这是不言而喻的,是只有依靠发展才能应对的。但台的唯一选择,更几乎无法作为中国企业机构的可靠选择,这不是单方面愿不愿意靠上去的问题,而是美方要把我们脱钩的问题。•但受到先进性成熟度生态完善程度等影响,国内产业已存在OpenAI+ChatGPT依附生态是必须正视和尊重的既定事实,在网络安全领域也存在多种后台利用的情况。在美情报机构棱镜"等超级接口的访问检索范围内,但我们对此实际情况缺少详尽的实际频谱分析,而从战略上,这已经不只是信息安全风险,也带来了知识安全风险,以及对中美战略安全平衡的微妙影响。AI?•一个很有意思的对比是,在某运营商出口将数据分流给:A组基于特征体系的两台检测设备;B组一个基于上百台服务器支撑的AI检测模型,前者的威胁事件有效报警量是后者的100倍。•中国网络安全面临着创新和补课两个基本任务,而不是只有创新一个基本任务。多数未补课带来的问题,不是能通过创新补偿的不完成这些补课,大量的创新是无效的•从防御场景看,可管理的网络才是可防御的网络,有效的治理是防御的基础;从能力供给看,高质量特征工程和知识工程体系,是安全共性能力建设和安全赋能的基础。•神经系统是驱动手和脚的,而不是替代手和脚的决问题。•安全厂商和通用平台厂商合作并未普遍展开,一方面真实反应了通用模型当前对网安能力的增益有限,难以实现合理的投入产出比;但另一方面从本质上依然是对互联网平台厂商和大型IT厂商在过去跨界打劫的带来的不安全感。场景和资产安全运营的深刻理解。•我们承认高水平大模型能包络许多细分,但所谓的万卡门槛",或者你有多少块卡"的投资人提问,这是英伟达的话术视角,而不是真正的创新价值视角。•我们是唯物主义者,但不是物质决定论者,我们的先辈曾在手摇和算盘上支撑两弹一星,中国IT和软件的线性者们就是在最早的纸带、磁带、低密磁盘上开创了中国最早的计算机事业。我们依然要用场景的经验任务的垂直和收敛以及自我能动性与牺牲来弥补我们算力资源的不足。防御者防御者安全产品/引擎大模型在网络安全中通过提升检测精准度、加快响应速度和实现复杂任务自动化，将显著增强了整体防护能力和效率。尽管我们聚焦于大模型的机器能力提升，促进生产自动化与智能化；同时大模型会逐步增加对“人”的赋能，提升“人”的能力与效率。参谋辅助参谋辅助“人”主要提供辅助支持，利用模型对安全数据的理解为提供辅助决策的候选方案，并对结果进行合“人”主要提供辅助支持，利用模型对安全数据的理解为提供辅助决策的候选方案，并