18个月前，AI SOC还只是一句营销话术。如今它已经成了预算项目。这个品类已经从"有趣的概念"变成了"必然的趋势"，数十亿美元正流入AI驱动的安全运营平台、代理型SOC工具，以及嵌入安全架构各层级中的AI副驾驶。数据显示，SOC正以行业有史以来最快的速度购买、部署和建立AI能力。

然而，报告AI采用率创纪录的同一批SOC，也在报告令人失望的结果。2026年5月发布的SOC-CMM 2026成熟度报告，首次提供了AI在SOC中价值的客观基准，调查数据收集自约200个跨地区、跨行业、跨交付模式的SOC，时间范围在2026年1月下旬至3月中旬。只有约10%的受访者表示AI为其SOC带来了卓越价值。约19%报告了良好价值。其余71%落在了"有一定价值"或"毫无价值"区间。

AI部署18个月后，这是一个结构性信号。以下是数据确认的内容，以及安全运营中下一波AI必须提供什么才能缩小这一差距的判断。

报告中AI部分有三个发现格外突出，放在一起看它们彼此高度关联。

首先，SOC内各类AI的采用率全面上升。现成的大型语言模型同比增长55%。AI副驾驶增长145%。AI代理增长118%。监督式机器学习增长96%。定制化LLM增长64%。SOC团队在AI上投入过度，却没有相应的运营成熟度来从所购买的产品中提取价值。

其次，占主导地位的采用模式是报告所称的"拿来主义"模式：在现有安全架构中部署现成的AI，不做任何定制。大约65%的受访SOC将自己描述为"拿来主义者"。另有20%是"塑造者"，对购买的产品进行定制。只有15%是"构建者"，使用自己的数据训练模型。"拿来主义者"是最大群体，也是报告价值最低的群体。在混合SOC、内部SOC和MSSP SOC中，价值感知分布几乎相同。这种一致性才是关键。这种模式跨越交付模式、地区和行业，原因在于结构性。

第三，报告标记了两个逐年增长的SOC改进挑战：最佳实践不足（+17%）和成熟度复杂度递增（+11%）。其他所有挑战类别，包括预算不足和管理层支持不足，都在下降。SOC并没有在说"我们没钱"或"管理层不支持"。他们在说"我们不知道该拿买来的AI做什么"。这就是AI成熟度差距的一个数据快照。

第一波AI SOC工具是以功能形式附加到现有安全产品上的。SIEM加了AI分诊。EDR加了AI调查。SOAR平台加了AI playbook生成。工单工具加了AI摘要。每个功能都是真实的，每个在独立场景下都有效，但没有任何一个与其他功能共享上下文。

这在实践中意味着什么：SOC分析师现在有了五个AI助手，而不是一个。SIEM中的分诊代理不知道上周检测工程师静默了什么规则。EDR中的威胁狩猎代理不知道威胁情报团队那天上午标记了什么。工单工具中的摘要代理不知道两次跳转前调查发现了什么。每个代理加速了自己的工作流切片，但没有解决切片之间的交接问题——而这才是大多数SOC时间和大多数SOC价值所在。

行业内各地的对话中，SOC运营商描述了同样的模式。他们描述了更快的单个任务，以及同样碎片化的工作流。他们描述了被要求学习五个新的代理界面，而核心问题——SOC作为一个脱节阶段链运作——纹丝未动。AI加速了每个孤岛，没有连接它们。

SOC-CMM 2026报告也给这个动态提供了数据。技术领域再次是整个数据集中得分最高的成熟度领域，平均2.7分（满分5）。流程领域——SOC各阶段交接所在——得分2.3。人员领域——机构知识和决策能力所在——同样得分2.3。购买更多工具，包括AI工具，不能移动这些数字。在某些SOC中情况更糟，因为每个新工具都增加了一个交接点。

报告AI卓越价值的10%的SOC，并非在运行不同的工具。他们是在不同的架构结构中运行AI。三件事将他们与那71%区分开来。

• AI在整个SOC生命周期中运作，而不是在其某一个阶段中运作。威胁情报、威胁狩猎、检测、调查和 remediation 是同一工作流的五个阶段。当代理跨所有五个阶段运作并相互提供上下文时，SOC开始复合增长。每一次闭环的调查都会校准下一次检测。每一次威胁狩猎的结果都会更新下一个情报周期。每一次修复都会反馈到下一个代理使用的playbook中。连接的架构才是产生持续价值的东西。报告卓越价值的SOC往往拥有类似架构的AI。报告良好价值的SOC往往拥有功能堆叠。

• AI知道自己运作的动态环境并持续从中汲取。通用AI产生通用调查。"正常"在医疗环境和金融科技环境中看起来不同。在一个环境中触发真实威胁的检测规则在另一个环境中会触发常规活动。在一个组织中正确升级的调查在另一个组织中会遗漏正确答案。报告价值的SOC拥有的AI系统能捕获和持久化机构知识：重要的资产、判断塑造了过去事件的分析师、经批准的操作、升级标准、被证明是误报的和被证明是重大事件的工单。没有这种基础，SOC中的AI产生的是互联网的平均值——在大多数环境中是错误的答案。

• AI是可治理的。SOC-CMM 2026报告将有效SOC治理确定为SOC改进中最具挑战性的单一领域，39%的受访者提到了这一点。AI治理和SOC治理重叠。代理型SOC在客户定义的护栏内运作。它为每个操作暴露可辩护的推理痕迹。它分阶段赢得自主权，而不是预先要求。SOC中的AI不能是一个黑箱。想清楚这一点的SOC，分析师信任系统并给予它持续授权。信任产生生产力提升。没有它，系统停滞。

如今，大多数试图在安全运营中心 (SOC) 中利用人工智能 (AI) 的企业，都在碎片化的架构中运行独立的 AI 应用。这些独立的 AI 应用在一个存在缺陷的架构中运行。这就是架构问题所在。

如果SOC的检测工程团队使用的工具与调查团队不同，任一工具中的AI只会加速该团队的工作流切片，对两者之间的交接毫无作用。如果SOC的威胁猎人不能轻易地跨调查使用的相同遥测来测试假设，任一工作流中的AI只能推进该工作流。如果SOC的修复playbook生活在看不到调查代理结论的SOAR工具中，AI修复将基于过时的上下文执行。

解决方法是连接各阶段。更多AI在同一个碎片化架构内只会让原始问题复合。那个连接架构就是"第二波"的意思。第一波提供的是每阶段AI。第二波提供的是跨阶段AI。

SOC的五个阶段必须作为一个代理型架构运作，以客户环境为基础。每一次闭环的调查校准下一次检测。每一次威胁狩猎的结果更新下一个情报周期。每一次修复反馈到下一个代理使用的playbook中。SOC复合增长。

实际上，这样构建的平台位于SIEM、EDR、身份、云、工单和威胁情报堆栈之上——一个组织已有的东西——而不是替换它们。连接层让每个阶段能够向前一个阶段提供输入，而不是孤立地运作。当这种架构到位时，SOC报告更敏锐的调查更快完成、被浮现和调优而不是被静默或噪音淹没的检测、持续运行而不是偶发的威胁狩猎，以及在客户定义的护栏内运作、带有完整推理痕迹和审计级决策记录的修复。

SOC中AI的第二波必须看起来是架构性的，而不是功能性的。弄清楚这一点的厂商和平台，是其客户将在明年基准中从"有一定价值"移到"卓越价值"的那些人。

对手没有在等待第二波到来。Google威胁情报小组今年早些时候披露了首个经确认的AI开发的零日漏洞。Anthropic的Claude Mythos预览版正在以机器速度识别关键漏洞。摩根大通的CISO在2025年4月发表了一封公开信，警告网络风险的经济学正在转变，安全买家需要要求"默认安全"的产品，而不是当前匆匆发布功能的速度。

在分散的安全运营中心 (SOC) 中运行第一代人工智能的防御者，将在安全漏洞发生后的第二天早上负责解释事件经过。而那些将第二代人工智能构建成互联网络、并从一开始就融入机构知识和治理机制的防御者，则能够预见到安全漏洞的发生。SOC-CMM 2026 报告中提到的 10% 这个数字，不仅反映了目前大多数 SOC 运行的架构，也预示着在下一次安全漏洞事件中，每个 SOC 将站在哪一边。