纯好奇啊 现在AI这么强 有哪些是真正带AI学习功能的杀软

lmw8023zz

我印象中真正让我体验到AI学习强大能力的就只有智量，反而那些大厂全都是靠拉黑入库，每天拉黑那么多，如果是现在的AI学习能力，杀毒效果应该指数级增长的啊？但事实为什么没有呢？

00006666

统计引擎也是AI，今天你能看见的杀软都有AI，只是智量宣传做的好，导致很多人以为别的杀软都没有AI。当然现在很多统计引擎查杀效果差，误报还高，那就是另一回事了。

x-天秤座

所谓的AI，都是被高估和滥用了称呼，目前来看人工智能这东西还早着呢，哪有智能这个东西？都只是沾了一点点边就当噱头了。

神龟Turmi

带机学的多了去了
但是你要纯机学而且还能保证一定检测率的 现在（我玩过的里）只有DeepInstinct（关闭云杀）
另外同样是机学 SVM实现和NN实现（以及之后可能会有的Transformer用作脚本语义分析的实现）原理上都是完全不同的 不能用机学（或者你说的AI）一概而论
再另外 随着机学方案的普及 现在黑产那边也有了比较成熟的bypass方法 现在的样本里塞本字典进去降熵或者直接拿合法软件patch了改成恶意的都是非常常见的

可以参考malwarebytes在2018年刚刚开始上机器学习（他们那边叫做异常分析）的说法：
我们一开始就说过，机器学习不是魔法，它和其他任何工具一样，既有优点也有缺点。异常检测的优点很明显：能够真正实现强大且长期有效的零日通用恶意软件检测，并且可以检测到很大一部分零日恶意软件。但它的缺点是什么呢？
异常检测的主要缺点是它只能用于检测“看起来异常”的恶意软件。如果你编写了一个世界上最干净、最简单的、未混淆的键盘记录程序，我们的异常检测器很可能无法检测到它。我们的研究人员通常发现，大约 50-80% 的零日恶意软件看起来是异常的，具体取决于测试的特定恶意软件和使用的特定异常模型。这个比例还不错，比我们测试过的任何分类模型都要好，但它肯定不是万能的，也不能单独提供足够的保护。
然而，这没关系，因为我们坚信没有任何单一的保护层是足够独立的。因此，Malwarebytes 将向量防御（我们的反漏洞利用层）、行为保护（我们的反勒索软件和应用程序行为保护层）、网站保护以及我们的反恶意软件启发式引擎与这个新的异常检测层结合在一起。与许多基于机器学习的反恶意软件供应商只使用一个层不同，这种分层组合为零日恶意软件提供了更全面的保护。

隔山打空气

TL，DR：高度自学习的安全软件现在没有，以后很长一段时间内也不会有
应用“AI”的安全软件到处都是，但应用的特定技术，方向和产品的能力、强度各有不同，最终还是取决于人
AI自学习现在被吹的更接近一种营销概念，应具体问题具体分析

如果AI说的是宽泛概念的ML，那所谓自学习功能的话无监督学习和下面的自监督学习可能是比较符合你要求的。但一个完整的系统显然不能只用这类东西弄出来，纯自己跑的话模型乱飞了那怎么办？这种东西必须要先有人工大量铺底才能在某个特定范围内实现稳定的所谓自学习

如果你说的是现在比较火的LLM和那种AI Agent概念的话，这种也是应用到整个检测系统的某些方面的，比如说LLM可以在简单加提示词之后就能够帮你分析安全软件捕获的命令行或者混淆脚本，也可以在微调外加其他处理之后承担部分反编译功能，从而加快恶意软件分析或者快速判定恶意程度；AI Agent那种也可以部分解放SOC的工作，自动完成某些事件上下文调查，执行特定响应操作之类的

严格意义上讲，现在几乎没有安全产品不应用各种各样的机器学习技术，即使是你见到过的很多老牌厂商也有非常宽泛的使用，从老！旧！的传统机学（比如某大厂的魔改半监督支持向量机）到各种先！进！的“深度学习”，很多看似传统的安全软件其实早就用上了（

但问题是这些东西都放在你看不太到的地方 体感不明显 那什么东西体感明显呢？ “云拉黑”“深度学习引擎”“AI智能主防”

云后端的分析系统可能会由一大坨的各种各样的机学决策模型+云沙箱+自动反编译系统+提取各种信息源+能工智人构成，但反馈到用户只有一个几乎看不出什么的拉黑结果，比方说红伞直接扔给你个HEUR/APC你能看出来什么东西
大部分人理解的机学引擎就是火绒口中的那个“统计引擎”，铁壳的AdvML，火绒的Meteor，各种NGAV的静态引擎，本地那玩意多数厂商一个小黑patch白文件就熄火一大半了，还有一堆报hello world过拟合的情况，当然应用NLP去做对应检测的话可以改善不少

AI智能主防这玩意语焉不详，卡巴PDM也有机学模型辅助决策，BD的ATC组件也有模型打分，HMPA的CryptoGuard也对文件操作进行建模分析来检测勒索，你说这种东西算不算AI主防？智量那东西你看着是什么AI主防，到手一试结果发现某些报法是检测特定API调用+写入内存到notepad的，这效果跟行为特征有什么区别？Elastic的行为检测都是纯规则实现的，但它的行为检测能力依然强悍，所以说这东西最后做成什么样很大程度上取决于人

最后的最后，智量，当然也对任何安全软件来说，是绝不可能长期不更新，只依靠自学习更新检测能力的。这种东西且不说安全软件本身必须随着系统更新动态地去适配新内核变动，否则就会失效，自学习需要多少数据？消耗多少性能？训练效果如何保证？如何检测攻击者不断开发的全新技术？这显然都是目前难以解决的问题

喀反

最常见的机学大户不是微软吗

lmw8023zz

感谢楼上大神分享知识，码字辛苦，人气已用完，稍后奉上

00006666

喀反 发表于 2025-6-4 21:15
最常见的机学大户不是微软吗

微软自己都有汇总介绍



https://www.microsoft.com/en-us/security/blog/2019/06/24/inside-out-get-to-know-the-advanced-technologies-at-the-core-of-microsoft-defender-atp-next-generation-protection/

夜的浣熊

ESET呢？我记得ESET旧LOG就是个机器人。说起来ESET应该也没这么不堪用吧，就是ESET实在太抠门了，连个云沙箱都不下放到EIS，还卖得死贵

swizzer

真正让我体验到AI学习强大能力的就只有智量

探头.jpg

这种珂版印象莫不是因为智量是大部分人能免费接触到的所谓NGAV?