香港某 SOC 的星期五下午四时
星期五下午四时,香港某安全营运中心(SOC)。一位初级分析师由早上八时开始当值。眼前的警示仪表板显示本週累积 312 条未处理的安全事件,新警示每 90 秒就出现一条。每一条都要分类:误报、低风险事件、或是需要在数分钟内升级处理的真实攻击链。到下午六时下班为止,她大概只能真正深入看过 30 条。剩下的 282 条,会被下一更同事标记为"已查阅"。
这就是网络安全行业不大愿意说出口的真相。也正是 2025 年 12 月在香港成立的一间 AI 优先初创想解决的问题。半年时间,这间公司由 3 位创办人扩张至 45 人团队,承接超过 30 个客户,包括香港上市公司及政府部门,现时每日处理超过 5 TB 安全资料。本文用这家公司的故事,告诉香港中小企老板 AI 正在如何重塑网络安全。
AI 正在悄悄解决的香港网络安全痛点
传统的安全营运中心,依靠第一级(L1)分析师处理每一条来自客户系统的警示。警示的数量极为惊人。根据香港网络安全中心 2025 年报,香港大型企业每日会收到 1 万至 5 万条警示,涵盖防火牆、端点侦测工具、身份系统。
传统的应对方法是"再请多几个人"。香港中型企业 SOC 通常聘用 6 至 12 位 L1 分析师轮更值班。每人在一更时间内,最多能认真检视 30 至 50 条警示。未处理的警示越积越多,真正的攻击就藏在噪音中漏掉。这正是新一代 AI 优先网络安全初创正在填补的缺口。
AI 驱动的安全营运实际是什么样子?
香港在 2026 年中最具代表性的案例,是一间将 80% 至 90% 的 L1 分析师工作以大型语言模型、视觉模型、及规则式决策树组合自动化的初创。根据 2026 年 4 月发表的创办人专访内容,该公司每日处理 5 TB 安全事件资料,并分析 40 万张网域截图,用以识别钓鱼诈骗中的伪冒银行网站。
创办人在访问中以一句话概括差别:"人类一日睇 30 条警示已经想死。我们现在用 AI 一日睇 40 万张图。成本根本算不出,因为人类根本做不到。"
三层 AI 安全模型
香港领先的 AI 优先安全团队普遍采用的架构,是一套三层模型。任何中小企在评估供应商时都可以用这套框架作参考。
第一层:警示分类自动化。AI 代理读取每一条进入的警示,与历史资料对照,然后不是关闭警示(并记录推理过程),就是把警示连同建议回应一齐升级。只有被升级的警示,才会送到真人分析师面前。
第二层:大规模模式侦测。视觉与语言模型分析数以百万计的证据(网页、登入尝试、档案杂凑、网络流量),这是任何人类团队都无法应付的规模。侦测钓鱼网站、发现供应链入侵、防止帐号被盗,现在都靠这一层完成。
第三层:攻击链确认。模型把每一次攻击视为一段 15 至 20 个步骤的序列。即使漏掉其中一步,能捕捉到 14 至 19 步也足以确认这是一次恶意攻击。同一篇 2026 年 4 月的创办人访问指出,这种以共识为基础的方法,正是 AI 驱动安全在实际部署中可行的关键:"AI 也会出错。但我们用共识去判断。一个攻击是一条链,我漏咗一个,但有十九个中咗,我都可以肯定这是一次攻击。"
对香港中小企的实际意义
大多数香港中小企不会自己建立 SOC,而是订购供应商提供的託管式安全服务。转向 AI 优先供应商,会在三方面改变价值计算。
覆盖时数不再是成本驱动。传统託管式 SOC 把 24×7 全天候覆盖定为高阶方案,因为真人需要付加班费。AI 代理不需要。同样的中小企预算,现在可以买到过往只有企业合约才有的全天候监控。
反应时间大幅缩短。过往需要 45 分钟人手分类的高信心攻击链,现在由 AI 层在 60 秒内确认。对勒索软件而言,这个时间差往往就是"事件被控制"与"整个网络被加密"之间的分界线。
每位客户的关注深度提升。传统分析师同时处理 5 至 10 个客户环境。由资深分析师督导的 AI 代理可以处理 30 至 50 个。每位客户获得的关注深度因此提升,而非下降。
AI 优先网络安全初创如何在没有品牌下赢得香港企业客户
对任何正在评估小型网络安全供应商的香港中小企而言,有一个观察值得留意:在这个行业,名声是跟著"人"走的,不是跟著公司名走。上文提及的案例初创,在成立后几星期内就成功承接香港上市公司、金融机构、关键基础设施的合约,原因是创办团队在某间 Big 4 公司累积超过十年的口碑。
对中小企老板来说,这意味著评估小型 AI 优先安全供应商时应该问的问题,不是"你公司多大?"而是"谁负责交付?他过往的往绩是什么?"案例公司的创办人在访问中如此表达:"渗透测试或者网络安全,是跟人、不是跟公司的。如果你真的要高品质,你知道要找谁。有些人做演习,纯粹为了交功课、为了满足合规要求,就找谁都一样、斗便宜。但如果你真的想测试到所有弱点,你要跟那个厉害的人。"
具体香港案例:AI 驱动的电讯网络安全监控合作
2026 年香港最受瞩目的合作之一,是一间 AI 优先安全初创与一间本地电讯子公司(旗下拥有覆盖全港、沿煤气管道铺设的光纤网络)共同成立"网络威胁监控中心"。这个合作将电讯公司的网络能见度,与初创的 AI 分类技术结合。
根据合作方公布的认证公告,该联合中心现在能为企业客户提供 24 小时监控,并达到一个三年前需要 50 人人手团队才能满足的服务水平。同样的服务范围,现在由约 15 名真人与一层 AI 代理组成的混合团队负责。
关于 AI 在网络安全中的常见误解
误解一:AI 会取代真人安全分析师。它真正取代的,是让分析师在 18 个月内烧尽的 L1 分类工作。资深分析师反而能释出产能,专注于需要判断力与创造力的"狩猎与应变"工作。
误解二:AI 会幻觉,会错失真实攻击。生产级的 AI 安全堆叠使用多步骤共识,并非单一模型判断。在一条 20 步攻击链中漏掉一步,仍有 19 个确认讯号。风险轮廓比大部分中小企想像的更为可控。
误解三:只有大企业才负担得起。事实正好相反。AI 层大幅降低供应商的"每位客户成本",AI 优先 MSSP 正以传统供应商无法匹敌的价位进入中小企市场。
香港中小企老板在 2026 年应该问网络安全供应商的问题
问题一:我环境中的 L1 警示分类,AI 处理多少?真人处理多少?
问题二:由警示生成到高信心判决的平均时间是多少(请以秒计,不是以分计)?
问题三:当 AI 标示确认攻击链时,由哪位资深分析师亲自负责升级处理?
问题四:你的资料驻留模式是怎样?我的资料会不会在任何时候离开香港?
问题五:我可以拿到哪些日誌,去审核 AI 对我资料所做的判断?
任何供应商如果无法用简单语言回答这五条问题,无论宣传册上怎么写,其实都不是真正的 AI 优先模式。
常见问题
问:典型香港中小企每日会产生多少警示?
一间 20 至 50 人、配备典型安全工具堆叠(防火牆、EDR、身份供应商、电邮闸道)的香港中小企,每日会产生 800 至 2,500 条原始警示。在没有 AI 分类层的情况下,真人能实际检视的比例只有 5% 至 10%。
问:AI 安全能否处理粤语的钓鱼电邮?
可以。现代多语言语言模型在粤语与繁体中文钓鱼侦测上的表现,已经接近英文水平。今日生产级的领先模型在训练资料中均包含粤语。
问:传统与 AI 优先託管式安全服务的成本差别是多少?
根据 2026 年香港市场见到的报价,AI 优先供应商能以传统 MSSP 4 至 6 成的价格,提供 24×7 覆盖,并同时缩短判决时间。
问:AI 安全会让我公司符合 PDPO 吗?
它在技术控制上有帮助,但无法替代政策与管治工作。PDPO 合规需要书面的资料处理规则、洩漏通报程序、员工培训,这些都不是 AI 安全堆叠本身可以提供的。
问:评估 AI 优先安全供应商最快的方法是什么?
要求做一次为期两星期的试点,供应商与你现有方案并行运行。比较两者在同一批事件上的判决时延、升级准确度、以及分析师摘要的品质。
对香港中小企的总结
香港网络安全的经济学正在被即时重构。过往面对"我们负担不起企业级安全"这条问题的答案,是"接受这个缺口"。AI 优先安全营运正在悄悄移除这个藉口。全天候监控、秒级判决、资深分析师升级,现在都以中小企的价位提供。
受惠最快的中小企,是现在就重新检视安全合约的,而非等到下次三年期续约。问你现有供应商上面五条问题,是免费的 30 分钟练习。结果会告诉你:你是否正以企业价位,购买 AI 优先竞争对手以一小截成本就能提供的"全人手覆盖"?
懂AI,更懂你 UD相伴,AI不冷。
准备好为你的业务评估 AI 优先安全防护?
2026 年挑选託管式安全合作伙伴,与 2023 年是完全不同的决定。UD 为香港企业提供网络安全顾问服务已有 28 年经验,我们手把手教你由零开始:从审视你目前的警示负载量,到并行试行一间 AI 优先供应商,每一步都按你的预算节奏走。
