前段时间团队搞了个POC，拿大模型做安全告警的自动研判，跑了几天就翻车了，模型直接把一条内网扫描的告警，判定为高危。原因还贼离谱，告警日志里有个字段beacon_interval，本来是设备心跳间隔，模型直接联想到了cs Beacon，这种幻觉比传统误报还难排查，它输出出来的东西看起来还极其专业，连MITRE ATT&CK 的Tactic编号都给你编上