在刚刚过去的RSA大会上，AI安全领域迎来了井喷式的发展。从SIEM（安全信息与事件管理）、SOAR（安全编排自动化与响应）、ITDR（身份威胁检测与响应）到DSPM（数据安全态势管理）、红队测试和防护代理，几乎每个厂商都在纷纷入局AI安全领域。今天，就让我们一起盘点一下2025年RSA大会上最值得关注的10大AI安全工具，看看它们如何用AI的力量重塑网络安全的未来。

1. Palo Alto Networks Cortex XSIAM 3.0 — 用AI重塑SIEM

Palo Alto Networks的Cortex XSIAM 3.0可谓是今年RSA大会上的一大亮点。它进一步推动了“AI原生SOC（安全运营中心）”的理念，将AI贯穿于数据摄取、关联分析、威胁检测和响应的全过程。

• 亮点：

- 新增了基于LLM（大语言模型）的高级电子邮件安全功能，能够检测网络钓鱼邮件中的意图变化和语义变异。
- 提供自动修复功能，针对被入侵的账户和可疑邮件进行自动处理。
- Cortex Exposure Management能够识别外部暴露风险，绘制攻击路径，对问题进行排序，并建议优先修复方案。Palo Alto声称该功能可以减少99%的噪声。

• 小贴士：Palo Alto Networks正在尝试将SIEM（安全信息与事件管理）、SOAR（安全编排自动化与响应）和ASM（攻击面管理）整合为一个由AI驱动的检测与响应平台。

2. CrowdStrike Charlotte AI — 智能响应与AI工作流构建

CrowdStrike的Charlotte AI在本次大会上也带来了不少惊喜。它现在拥有了两个独立的AI代理角色——一个用于分析，一个用于执行。

• 技术特点：

- **智能响应**：支持自然语言问答，能够自动生成根本原因分析和攻击路径可视化，并通过Falcon API集成响应执行功能。
- **AI工作流**：基于LLM的拖拽式界面，用于自动化剧本编排。你可以使用自然语言定义触发器和动作，无需编写代码。

• 小贴士：SOAR正在逐渐演变为由语言驱动的自动化工具，大大降低了编排的门槛。

3. Abnormal AI — 新增AI代理，助力安全培训与洞察

以电子邮件保护闻名的Abnormal，如今正在向安全培训和分析领域拓展。它推出了两个新的AI代理：

• 新增功能：

- **钓鱼教练**：通过真实拦截的攻击生成模拟钓鱼邮件。一旦用户点击，就会触发即时的微培训模块，根据用户行为进行个性化培训。
- **数据分析师**：整合内部行为和事件数据，自动生成趋势报告和交互式问答总结。

• 小贴士：电子邮件安全厂商正在通过AI助手进入传统的SOC（安全运营中心）用例领域。

4. Netskope DSPM — AI驱动的数据治理控制

Netskope在其数据安全态势管理（DSPM）产品中增加了更多针对AI的数据控制功能。

• 更新内容：

- **安全训练强制**：检测并阻止敏感数据（如PII、财务信息等）被输入到AI模型中。
- 根据数据来源、分类和使用上下文，建立细粒度的数据访问规则。
- 提供完整的数据使用审计跟踪，包括数据的敏感性标记。

• 小贴士：企业需要为AI使用明确界定数据边界。数据治理正在迅速成为瓶颈。

5. Huntress Managed ITDR — 专注于M365和OAuth

Huntress扩展了其托管的身份威胁检测与响应（ITDR）功能，以更好地覆盖Microsoft 365环境。

• 功能特点：

- **恶意OAuth应用检测**：发现滥用访问令牌或误用权限的可疑应用。
- **未经授权的访问监控**：基于异常登录或权限使用，检测被入侵的账户。
- **影子工作流检测**：发现常被用于商业电子邮件入侵（BEC）的电子邮件转发规则或隐蔽自动化脚本。

• 小贴士：Huntress正在成为“中小企业的Mandiant”，专注于实用的托管检测服务。

6. Bugcrowd — 众包红队测试

Bugcrowd推出了新的服务——红队即服务，由其道德黑客社区提供支持。

• 关键能力：

- 结合对手模拟、PTaaS（渗透测试即服务）、威胁情报和传统的众包漏洞奖励工作流程。
- 定制的红队套餐包括AI规避测试、防御绕过尝试和真实世界的TTPs（战术、技术、程序）。
- 可视化攻击图，并输出详细的仿真报告。

• 小贴士：红队测试正在通过众包被SaaS化和民主化。

7. Silverfort — 云环境下的非人类身份保护

Silverfort将其身份安全堆栈扩展到云服务账户和机器身份。

• 亮点：

- 自动发现AWS、GCP、Azure等云平台上的非人类身份。
- 分析过度权限，并检测异常访问行为。
- 提供统一的策略管理和实时审计功能。

• 小贴士：身份保护不再仅仅关注用户——机器代理和令牌正在迅速增长。

8. Apiiro — 应用安全的可视化软件图谱

Apiiro推出了一种新的可视化工具，用于映射软件组件、依赖关系、漏洞和访问路径。

• 功能特点：

- 交互式图谱展示了组件之间的关系、潜在影响范围、可达路径和安全热点。
- 能够检测“有毒组合”（例如，公开暴露的未打补丁的漏洞）。
- 比静态的SBOM（软件物料清单）更具动态性，提供实时更新和攻击面上下文。

• 小贴士：以可视化为主导的方法正在逐渐取代以合规为重点的SBOM。

9. Wallarm — 为LLM代理提供智能保护

Wallarm推出了一种专门针对基于LLM的代理和聊天机器人保护模块。

• 防御功能：

- 检测提示注入、越狱、意图操纵和系统消息泄露。
- 自动发现暴露的LLM端点，并标记使用上下文。
- 记录所有攻击交互，并应用自适应阻断策略。

• 小贴士：每个AI代理现在都需要一个“AI WAF（Web应用防火墙）”。LLM已经成为攻击面的一部分。

10. NetRise ZeroLens — 预CVE漏洞检测

NetRise推出了ZeroLens，旨在检测软件弱点，这些弱点在被公布为CVE之前就被发现。

• 功能：

- 使用二进制组成分析来标记编译软件中的高风险代码。
- 构建详细的资产级BOM（物料清单），支持与传统SBOM集成。
- 根据可利用性、使用情况和威胁情报优先进行补丁修复。

• 小贴士：左移（Shift Left）现在包括捕捉尚未进入CVE数据库的问题。

从这些发布中，我们可以看到一个明显的趋势：AI代理正在从简单的助手角色转变为全面的自动化和编排角色。同时，数据、身份、红队测试、软件供应链等核心安全领域都在进行AI原生的更新。AI正在成为网络安全领域不可或缺的力量，而这些工具只是冰山一角。未来，随着技术的不断发展，AI将在安全领域发挥更大的作用，让我们拭目以待吧！