Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

该研究通过分析 Reddit 上 892 篇安全社区帖子，揭示了网络安全从业者将大语言模型视为“双刃剑”的现状：尽管其在提升低风险任务效率方面展现出显著价值，但可靠性不足、验证成本高及安全风险等问题仍严重限制了其在安全运营中的自主化应用。

要点

这篇论文就像是一份**“网络安全专家对 AI 新宠儿的真实用户评价报告”**。

想象一下，网络安全中心（SOC）就像一个24 小时不熄灯的“数字消防队”。他们的工作是时刻盯着成千上万个警报，判断哪些是真正的火灾（黑客攻击），哪些只是误报（比如有人不小心按错了开关）。以前，他们靠传统的自动化工具和人工经验，但警报太多，消防员们累得精疲力竭，甚至产生了“警报疲劳”。

最近，大家发现了一个新工具：大语言模型（LLM），也就是像 ChatGPT 这样的 AI。厂商们吹嘘它能像“超级消防员”一样，自动灭火、自动巡逻。

为了搞清楚这个“超级消防员”到底靠不靠谱，研究人员潜入了 Reddit 上的网络安全论坛，像**“潜水员”**一样，收集了 892 条真实讨论（就像收集了 892 份消防员的日记和吐槽），看看大家到底是怎么用它的，感觉如何。

以下是这篇论文的核心发现，用大白话和比喻讲给你听：

1. 大家更爱用“万能瑞士军刀”，而不是“专用消防斧”

• 现象：虽然市面上有很多专门为了网络安全设计的 AI 工具（比如微软的 Security Copilot），但消防员们用得最多的，反而是通用的 AI 工具（比如 ChatGPT、微软 Copilot）。
• 比喻：这就像消防员明明有专门的“液压钳”和“破拆斧”，但遇到小问题时，他们更习惯随手掏出一个**“万能瑞士军刀”**。因为通用 AI 更灵活、更便宜，而且大家早就用熟了。那些昂贵的专用 AI 工具，虽然功能强大，但大家还在观望，或者觉得太复杂，还没完全融入日常。

2. 怎么用？“先当实习生，再想当队长”

• 现象：大家用 AI 主要做两件事：
  1. 写代码和写报告（比如让 AI 帮忙写个脚本，或者把复杂的日志总结成给老板看的简报）。
  2. 辅助调查（比如让 AI 帮忙整理线索，但最后拍板决定的依然是人）。
• 比喻：大家把 AI 当作一个**“超级聪明的实习生”**。
  • 你可以让它去**“跑腿”**（写代码、查资料、整理文档），它能干得飞快。
  • 但你绝不会让它**“独自去灭火”**（自动阻断攻击、隔离服务器）。因为如果这个实习生搞错了，可能会把整个大楼的电源都切了，后果不堪设想。
  • 结论：AI 目前是“副驾驶”，人类必须是“机长”。

3. 大家既爱它，又怕它（爱恨交织）

• 爱它什么？
  • 快：以前查一个警报要 45 分钟，现在 AI 几秒钟就能把线索理清楚，大大减轻了大家的加班负担。
  • 懂行：它能把那些像“天书”一样的机器日志，翻译成“人话”，让新手也能看懂发生了什么。
• 怕它什么？
  • 爱“一本正经胡说八道”（幻觉）：这是最大的槽点。AI 有时候会自信满满地编造一个不存在的病毒，或者把无辜的流量说成是攻击。在网络安全里，“错杀”比“漏网”更可怕，因为一旦误报，可能导致业务中断。
  • 隐私泄露：大家担心把公司的机密数据（比如内部网络图、密码策略）发给公开的 AI，就像把保险柜的钥匙复印件寄给了陌生人，万一被 AI 学走了怎么办？
  • 太贵：处理海量数据时，AI 的调用费用像流水一样，有人算了一笔账：用 AI 的钱，可能够再雇几个真人了。

4. 未来的担忧：新手怎么成长？

• 核心矛盾：以前，新手消防员是通过处理大量的“小火苗”（初级警报）来积累经验，慢慢变成老手的。
• 新危机：现在，AI 把那些初级、重复的活儿都包圆了。
• 比喻：这就像**“把学游泳的浅水区都填平了”**。如果 AI 自动处理了所有简单任务，新手消防员就失去了“练手”的机会。等他们真正面对一场复杂的“森林大火”时，可能因为缺乏实战经验而手足无措。
• 论文建议：我们需要一种新的培训方式，让 AI 变成**“教练”**而不是“替身”，教新手怎么思考，而不是直接替他们干活。

总结

这篇论文告诉我们：AI 在网络安全领域是个“潜力股”，但目前还不是“全能股”。

它像一把**“双刃剑”**：

• 剑刃锋利：能极大提高处理日常杂务的效率，让专家从繁琐中解脱出来。
• 剑柄不稳：因为容易出错、有隐私风险且太贵，大家不敢把身家性命（核心安全决策）完全交给它。

最终结论：在可预见的未来，网络安全依然是**“人机协作”的模式。AI 是那个不知疲倦、博闻强记的“超级助手”，但那个在关键时刻“拍板定案、承担责任”**的，必须是有血有肉的人类专家。

技术摘要

这是一份关于论文《Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit》（像锤子一样，既能建设也能破坏：Reddit 上网络安全运营中大型语言模型的使用、感知与采用）的详细技术总结。

1. 研究背景与问题 (Problem)

• 背景：安全运营中心（SOC）面临日益复杂的威胁环境，尽管已有 SIEM、SOAR 和传统机器学习工具，但分析师仍面临严重的警报疲劳、压力过大和倦怠问题。大型语言模型（LLM）因其生成式推理能力，被视为增强 SOC 工作流的潜力工具，厂商也推出了如 Microsoft Copilot for Security 等自主 AI 解决方案。
• 问题：尽管 LLM 在理论上前景广阔，但业界缺乏对真实世界中安全从业人员如何使用、感知和采用这些工具的实证理解。现有的研究多集中在特定工具或任务上，缺乏对广泛社区讨论中关于 LLM 在 SOC 中实际落地情况的宏观视角。
• 研究目标：填补这一空白，通过分析在线论坛讨论，回答以下三个核心研究问题（RQ）：
  1. 从业人员在 SOC 工作中提到了哪些 LLM 工具和使用场景？
  2. 从业人员在 SOC 工作流中讨论了 LLM 工具的哪些优缺点？
  3. 从业人员如何讨论 LLM 在 SOC 中的采用及其对未来实践的潜在影响？

2. 研究方法 (Methodology)

本研究采用混合方法分析（Mixed-methods analysis），结合了定性编码和统计分析，数据来源于 Reddit 上的网络安全社区。

• 数据来源：
  • 时间跨度：2022 年 12 月至 2025 年 9 月。
  • 来源社区：主要选取了三个活跃的网络安全子版块（Subreddits）：r/cybersecurity（最大，超 100 万成员）、r/Information_Security 和 r/ciso。
  • 数据规模：共收集了 1,703 个帖子，经过相关性筛选和人工复核，最终确定了 892 个相关帖子 作为分析对象。
• 分析流程：
  1. 数据收集与清洗：使用关键词搜索（如"SOC AI", "LLM in cybersecurity"）结合 AI 辅助分类（GPT-4.1-mini）筛选相关线程，随后进行人工复核以确保相关性。
  2. 定性分析（编码）：采用混合编码方法（Hybrid coding），基于现有文献构建初始代码本，并通过多轮双人编码（Inter-rater reliability, $\alpha \ge 0.8$）确保一致性。最终将帖子内容归纳为工具类型、使用场景、感知因素（能力、效率、可靠性等）及采用意愿等主题。
  3. 定量分析：对编码结果进行统计检验（如卡方检验、双样本比例检验），以验证不同因素间的情感倾向差异（正/负）及使用频率的显著性。
• 伦理考量：研究仅使用公开数据，经 IRB 豁免，所有用户身份已匿名化处理，并避免发布原始数据集以保护隐私。

3. 主要贡献与发现 (Key Contributions & Results)

3.1 工具使用与场景 (RQ1)

• 通用模型主导讨论：尽管存在专门的安全 LLM 工具（如 Security Copilot, Dropzone），但通用 LLM（如 ChatGPT, Microsoft Copilot）在讨论中占据主导地位（60.5% 的提及率），远高于专用安全工具（43.9%）。专用工具生态呈现“长尾”特征，碎片化严重。
• 使用场景分布：
  • 事件响应与分类（Triage & IR）：最常被讨论（42.77%），包括警报分类、调查辅助和缓解措施。
  • 脚本与查询支持：第二常见（27.08%），用于生成 Python/PowerShell 脚本或 SIEM 查询语句。
  • 报告与文档：占 25.85%，用于撰写事件摘要、威胁情报简报等。
  • 其他：威胁分析、知识支持和培训占比较低。
• 自主性梯度：LLM 主要作为决策支持工具（人类在环），较少嵌入自动分类流水线，极少被赋予完全自主的缓解控制权。

3.2 感知与情感 (RQ2)

研究识别了六个关键感知维度，并通过统计显著性检验发现情感倾向存在明显差异：

• 正面情感显著：
  • 能力（Capabilities）：LLM 在增强事件背景、解释复杂日志信号、减少误报方面表现优异。
  • 效率（Efficiency）：显著缩短了平均分类时间（MTTT）和调查时间，能处理海量数据。
• 负面情感显著：
  • 可靠性（Reliability）：最大的担忧。LLM 的“幻觉”（Hallucinations）、非确定性输出以及在不熟悉场景下的错误结论，使其在安全领域难以完全信任。
  • 安全与隐私（Security & Privacy）：担心将敏感组织数据输入公共模型导致泄露，以及 LLM 工具本身成为新的攻击面（如提示注入）。
  • 自主性（Autonomy）：尽管厂商宣传“自主”，但从业人员认为当前系统仍需大量人工监督，无法独立执行关键任务。
  • 成本（Cost）：推理成本高昂，且验证 LLM 输出所需的人力成本可能抵消其带来的效率收益。

3.3 采用情况与障碍 (RQ3)

• 采用现状：约 53.6% 的帖子报告正在积极使用 LLM，33% 正在评估，13% 尚未采用。
• 采用模式分化：
  • 通用 LLM：多由分析师个人独立采用，用于低风险的效率提升任务（如写脚本、写报告）。
  • 专用安全 LLM：多由决策者（如 CISO、SOC 经理）关注，但在实际落地中面临更多质疑。
• 主要障碍：
  • 厂商过度承诺：对“自主 SOC"的营销持怀疑态度。
  • 传统方案足够：许多确定性任务传统自动化已足够，引入 LLM 被视为“杀鸡用牛刀”。
  • 组织限制：数据丢失预防（DLP）策略和缺乏评估框架限制了公共 LLM 的使用。
  • 职业焦虑：部分从业人员担心 AI 会取代初级分析师，导致自身技能过时。

4. 研究意义与启示 (Significance)

• 技术设计启示：

  • 可靠性是自主性的硬上限：在 LLM 输出无法被完全信任且验证成本高昂的情况下，完全自主的 SOC 部署是不现实的。未来的系统设计应侧重于可解释性和不确定性沟通，帮助分析师在特定情境下评估可靠性。
  • 人机协作模式：LLM 应定位为“实习生”或“副驾驶”，负责信息收集和初步分析，而非直接执行关键操作。

• 组织与流程启示：

  • 分层采用策略：组织应区分“分析师个人效率工具”与“企业级安全平台”的采用路径。前者灵活但需管控，后者需严格的治理和数据保护。
  • 验证开销：必须重新评估 LLM 带来的效率增益，需扣除人工验证和修正错误所需的时间成本。

• 劳动力发展危机（重要发现）：

  • 技能断层风险：LLM 正在自动化初级（L1）任务，而高级分析师的 expertise 往往是通过处理这些初级任务积累而来的。如果初级任务被完全自动化，可能导致未来缺乏具备足够领域知识来监督 LLM 的高级分析师。
  • 共学习（Co-learning）：未来的培训需要从单向学习转向人机“共学习”模式，利用 LLM 作为导师（Mentor）来指导初级分析师，同时让分析师在监督 LLM 的过程中保持技能更新。

总结

该论文通过大规模实证分析揭示了 LLM 在网络安全运营中的复杂图景：虽然 LLM 在提升效率和辅助决策方面展现出巨大潜力，但可靠性风险、数据隐私、高昂成本以及验证开销严重限制了其自主性。从业人员倾向于将 LLM 用于低风险、高控制权的任务，而对完全自主的 AI 安全代理持谨慎态度。研究强调了在追求技术自动化的同时，必须关注人机信任机制的构建以及网络安全人才梯队的可持续性。