技术深度解析
Z.Ai与360的声明基于根本不同的架构路径,但两者均旨在复现Mythos的核心能力:无需人工介入的自主实时威胁检测。
Z.Ai的图神经网络路径
Z.Ai内部代号为'Sentinel-NX'的模型,采用异构图神经网络(HGNN),将整个企业网络建模为动态图。节点代表实体——用户、进程、文件、网络连接——而边则编码行为关系。该模型基于包含超过1000万个标注攻击场景的专有数据集训练,涵盖来自Lazarus和APT10等组织的APT攻击。其关键创新在于一种时间注意力机制,能够跨数周关联事件,从而检测那些逃避传统SIEM系统的缓慢、低慢型攻击。Z.Ai声称在内部测试中零日漏洞检测率达99.2%,但测试方法尚未公开。
360的传感器优先策略
360则走了一条截然不同的道路,充分利用其无与伦比的端点覆盖能力。凭借超过15亿台运行其安全软件的设备(主要在中国),360的模型'SkyEye-3'是一种基于Transformer的架构,每天训练约2.3万亿条遥测事件。该模型采用一种新颖的'行为标记化'技术,将原始系统调用和网络流转换为压缩的令牌流,使其能够在单个GPU集群上每秒处理相当于10万个端点的数据。360声称其模型能在首次执行后3秒内以97.8%的准确率识别新型恶意软件变种,这一延迟指标已接近Mythos报告的小于2秒响应时间。
架构对比
| 特性 | Z.Ai Sentinel-NX | 360 SkyEye-3 | Anthropic Mythos |
|---|---|---|---|
| 核心架构 | 异构图神经网络 | Transformer(行为令牌) | 混合专家(MoE)Transformer |
| 训练数据 | 1000万条标注攻击链 | 每日2.3万亿条遥测事件 | 专有(估计1000亿令牌) |
| 检测延迟 | <5秒 | <3秒 | <2秒 |
| 零日检测率(声称) | 99.2% | 97.8% | 98.5%(公开基准) |
| 误报率 | 0.08% | 0.12% | 0.05% |
| 部署模式 | 本地设备+云 | 纯云(SaaS) | 云API+本地边缘 |
数据要点: 尽管Z.Ai与360声称具有竞争力的检测率,但其误报率比Mythos高出60%-140%,这在实际部署中可能导致警报疲劳。延迟差距虽小,但对于毫秒级决定遏制成败的自动化响应系统而言至关重要。
相关开源仓库:
- MITRE ATT&CK评估(GitHub: mitre-attack/attack-cti): 检测模型基准测试的行业标准。Z.Ai与360均未在此框架上公布结果,引发可比性疑问。
- 开放网络安全架构框架(OCSF)(GitHub: ocsf/ocsf-schema): 一项旨在标准化遥测数据的社区努力;两家公司均声称兼容,但未向该架构贡献代码。
关键玩家与案例研究
Z.Ai 是一家相对年轻的初创公司,成立于2021年,由清华大学AI安全实验室的前研究人员创立。该公司已从红杉资本中国基金和高瓴资本获得2.8亿美元B轮融资,估值达21亿美元。其主要产品是一款面向中型企业的云端威胁检测平台。公司CEO李伟博士此前曾在NeurIPS 2020上发表关于图神经网络用于入侵检测的开创性论文。
360 是一家公开上市的网络安全巨头(上交所:601360),市值约180亿美元。由周鸿祎创立,该公司主导中国消费级杀毒软件市场,并正积极向企业级AI安全领域转型。其'SkyEye'产品线已服务超过30万家企业客户,包括80%的中国国有银行。360的优势在于其庞大的数据护城河:全球没有其他公司能从一个单一国家环境中获取如此规模的端点遥测数据。
Anthropic的Mythos 仍是AI安全领域无可争议的领导者,被超过40%的财富100强公司部署。其核心差异化优势在于宪法AI对齐——该模型经过训练,即使在被授权用户提示时也会拒绝执行恶意行为。这一安全特性在两种中国模型中均缺失,后者更侧重于检测而非行为约束。
竞争格局对比
| 公司 | 产品 | 定价(每端点/月) | 关键差异化优势 | 企业客户数 |
|---|---|---|---|---|
| Anthropic | Mythos | 8.00美元 | 宪法AI,零日狩猎 | 4,000+ |
| Z.Ai | Sentinel-NX | 3.50美元 | 基于图的攻击链映射 | 500+ |
| 360 | SkyEye-3 | 2.00美元 | 大规模传感器网络,低成本 | 300,000+ |
| CrowdStrike | Falcon | 待补充 | 待补充 | 待补充 |