从安全助手到数字员工,Agentic AI开启SOC建设运营新范式
过去几年,企业IT架构发生了深刻变化。混合云、多云、本地数据中心以及边缘计算等部署模式长期并存,业务系统和数据不断向云端迁移,安全边界逐渐模糊。与此同时,大模型、智能体以及AI原生应用开始快速进入企业生产环境,网络攻击也随之发生变化。攻击者借助生成式AI持续提升攻击效率,从自动生成钓鱼邮件、编写恶意代码,到利用智能体实施复杂攻击,攻击规模、速度和隐蔽性都在快速提升,传统SOC依赖规则、剧本和人工分析的运营模式正面临前所未有的挑战。
IDC观察到,Agentic AI(智能体)的快速成熟,正在推动安全运营进入新的发展阶段。不同于传统安全助手主要承担知识问答和辅助分析的角色,智能体具备自主规划、自主推理、自主执行和持续学习能力,能够直接参与威胁检测、事件调查、响应处置以及运营优化等完整流程,推动SOC由“人工驱动”向“智能体驱动”演进。Agentic SOC正在成为新一代安全运营范式。
市场进入高速增长期,Agentic AI成为安全运营的新引擎
国际数据公司(IDC)最新发布的《IDC MarketShare:中国基于大模型的安全运营平台市场份额,2025》(Doc# CHC53617226,2026年7月)报告数据显示,2025年,中国基于大模型的安全运营平台市场规模达到15亿元人民币,同比增长144%,成为近年来网络安全子市场增长最快的细分领域之一。这一增长表明,大模型技术正在从能力验证阶段迈向规模化应用,而安全运营已经成为AI技术在安全领域最先实现商业化落地、也是企业价值最明确的应用场景之一。其中,阿里巴巴、深信服科技、360数字安全集团、启明星辰集团、绿盟科技、安恒信息等厂商占据市场主导。

IDC预计,未来几年,随着智能体技术的持续成熟、多智能体协同能力的不断完善以及智能体治理体系的逐步建立,中国基于大模型的安全运营平台市场仍将保持高速增长,并逐步成为网络安全市场最具潜力的核心赛道之一。
Agentic AI正在重新定义SOC
过去几年,大模型开始进入SOC,但更多以AI助手(Copilot)的形式出现。这类能力虽然提升了分析效率,但本质上仍属于“辅助工具”,需要分析师主导整个运营流程。智能体则代表了另一种技术范式。与传统助手相比,安全运营智能体不仅能够理解用户意图,更能够围绕既定目标自主规划任务、自主调用工具、自主推理分析、自主执行操作,并根据执行结果持续优化后续行动,真正完成从威胁检测、事件调查到响应处置的完整安全运营任务。这意味着安全运营平台正从“工具自动化”迈向“智能体自主运营”。Agentic SOC并不是传统SOC增加一个聊天窗口,也不是SOAR叠加一个大模型,而是以安全运营智能体集群为核心,重构整个安全运营体系。更重要的是,智能体具备持续学习能力,能够在日常运营中不断积累企业知识、安全剧本和行业经验,逐步理解企业业务流程、安全策略和风险偏好,形成“运营即学习、学习即进化”的持续优化闭环。
IDC近日发布的《IDC MarketScape:中国安全运营智能体厂商评估,2026》(Doc #CHC54110626 ,2026年7月)报告指出,安全运营智能体的发展,不仅意味着AI能力的提升,更代表着安全运营模式的变革。传统SOC始终围绕“人”开展工作,分析师负责告警分析、事件调查、风险研判和响应处置。在Agentic SOC中,智能体开始承担越来越多重复性和标准化工作,可全天候自主完成告警分流、威胁调查、攻击溯源和事件响应,分析师的职责将逐步转向策略制定、复杂威胁研判和智能体管理等方向,实现从“人工处理告警、事件”到“管理智能体”的角色转变。
未来企业建设的不再只是一个SOC平台,而是一支能够7×24小时持续运行、由多个安全运营智能体组成的”数字安全团队”。安全分析师将逐步从告警处理者转变为智能体管理者和安全决策者,而安全运营平台也将从传统工具平台演进为企业AI原生安全运营的核心基础设施。
企业迈向Agentic SOC,仍需跨越五大门槛
尽管智能体为安全运营带来了新的可能,但从当前市场实践来看,安全运营智能体仍处于规模化落地的早期阶段。随着智能体逐步参与安全运营核心流程,企业关注点已从”智能体能不能用”转向“智能体能不能安全、可靠、持续地使用”。《IDC MarketScape:中国安全运营智能体厂商评估,2026》报告指出,企业部署Agentic SOC还需解决如下五大问题:
- 系统集成复杂:智能体与现有安全平台、网络架构的融合涉及多系统对接和流程重构,落地门槛高。
- 信任与可解释性不足:AI模型存在幻觉、决策过程不透明等问题,客户对智能体输出的结果和采取的行动的信任度有限,亟须增强可解释性。
- 行业适配性问题:通用型智能体难以满足不同行业的专有安全需求,需要符合自身行业和场景要求的智能体。
- 智能体自身安全风险:智能体本身可能成为新的攻击面,还需关注其自身安全防护和可控性。
- 算力与数据合规挑战:智能体对算力资源消耗大,全部上云涉及数据安全、合规与算力成本的权衡,尤其在数据主权和行业监管严格的场景下更为突出。
IDC观察:Agentic SOC正沿七个方向持续演进
趋势一:从“安全助手“走向“数字员工“
安全运营智能体正由“辅助分析+建议输出”升级为“可执行主体”,不仅理解告警与威胁,还能直接调用工具链完成研判、响应与处置,形成从发现到修复的闭环。在一些标准化、低风险的场景中,安全运营智能体将逐步替代人工完成重复性工作,同时通过持续学习与策略优化提升处置质量与效率。未来衡量Agentic SOC成熟度的重要标准,不是智能体回答了多少问题,而是能够自主完成多少安全运营工作。
趋势二:从单一智能体走向多智能体协同
安全运营能力从单一智能体扩展为多智能体协作体系,不同角色(如检测、分析、溯源、响应、汇报等)分工协同完成复杂任务,通过编排与通信机制实现跨系统联动与全流程自动化。在某些成熟场景中可实现端到端自动响应与决策,推动安全运营向“无人值守”演进。与此同时,智能体集群协同机制将使得“超级智能体”成为用户安全运营的中枢和总管,进行任务调度与分配,帮助用户更好地完成安全运营任务。
趋势三:从GUI走向LUI,重塑安全运营交互方式
安全运营交互方式正由图形界面转向以自然语言与命令行为核心的对话式入口,用户通过与智能体交流即可完成查询、分析与处置操作,无需在复杂界面中反复切换。这种转变降低了使用门槛,提升了响应效率,并将安全运营入口从“系统界面”重塑为“对话即平台”的统一交互中心。
趋势四:走向智能体全生命周期管理
安全运营智能体是一系列智能体的集合,其工作流程中还会涉及调用诸多自有智能体、第三方智能体、工具、Skills等,智能体全生命周期管理至关重要。安全运营平台需覆盖智能体开发、编排、调优和监控的能力,实现智能体状态可视、动作可追溯、经验可沉淀、效果可量化,并通过数据反馈驱动能力持续进化。
趋势五:与用户共同成长,形成持续进化能力
智能体的真正价值来自与用户长期的协同进化,并深度结合具体业务场景与行业特性进行优化。一方面,为用户开放智能体、Skills等开发环境,并简化开发流程,降低使用门槛。另一方面,持续积累、整合知识库、Skills与剧本等能力资产,在真实运营中不断沉淀经验与优化策略,逐步形成可复用、可扩展且具备行业适配能力的安全运营体系。
趋势六:安全可信成为Agentic SOC规模化落地的基础
智能体自身的安全与可信问题是企业上线部署以及使用智能体的前提条件,安全运营智能体的技术服务提供商还需系统性解决模型幻觉、智能体身份与权限边界、决策可解释性等核心风险。同时引入“AI对抗AI、AI防护AI”的机制,通过智能体之间的交叉验证、对抗检测与自动审计提升防护能力,确保其行为可控、过程可追溯、结果可验证,从而支撑其在关键安全场景中的可靠落地。
趋势七:构建开放生态,推动安全运营平台化发展
安全运营智能体的发展不再依赖单一能力,而是需要构建涵盖模型生态、工具生态与行业生态的协同体系,通过多模型接入、工具链整合与行业伙伴共建,形成能力互补与持续扩展的生态格局。在此基础上,最终实现能力的快速集成与场景的灵活适配,推动安全运营从“单点能力”向“生态化能力平台”演进。
IDC中国网络安全领域研究经理王一汀表示,2026年,伴随智能体应用部署加快,安全运营智能体进入规模化落地与体系化演进的新阶段,Agentic SOC将成为企业AI原生安全运营体系的重要基础设施,也将成为未来几年网络安全市场最具活力和创新潜力的发展方向之一。从技术演进路径看,安全运营智能体正由“辅助工具”快速转向“数字员工”,在告警降噪、事件分析与威胁响应等高频场景中形成实用化能力,并逐步承担更多自动化处置职责。未来,Agentic SOC的发展将呈现集群化协同、平台化统一管理、全生命周期治理、安全可信增强以及开放生态融合等趋势,并通过持续的反馈与调优机制构建学习与优化的闭环体系,推动安全运营能力向更高效、更智能的方向迈进。
IDC更多相关研究:

进一步交流
IDC已于2026年启动AI安全技术系列研究,围绕AI原生安全架构、安全智能体成熟度评估、AI驱动DevSecOps实践路径以及企业级AI治理框架等方向展开持续跟踪与分析。对于希望进一步了解相关研究、评估自身AI安全能力或探讨落地路径的企业,欢迎与IDC分析师团队进行深入沟通(请点击此处),以获得更具针对性的洞察与建议。