近年来，安全行业对大模型的探索经历了显著转变。从初期“通用大模型+安全知识库+安全工具”的快速集成模式，逐步向专业化纵深发展。尽管初期模式在报告生成、数据分类分级等场景中取得了初步成效，但随着应用的深入，安全领域的独特性对技术提出了更高要求。一方面，安全领域的高价值专业数据需要实现真正的 “学进去、用起来”，完成深度转化与吸收；另一方面，安全专家经验需在用户本地深度落地，对精准性、无二义提出了新挑战。

基于这些行业需求，360自2023年起便以人脑“快慢思考”方法论为核心，锚定安全场景的任务特性，构建差异化技术路线，以应对“深水区”的各种挑战。

所谓“快慢思考”方法论，简而言之就是将安全场景中的各个子任务划分为“快思考任务”或“慢思考任务”，分别进行针对性处理后再实现综合应用，从而实现安全大模型能力边界的重构。

具体而言，“快思考”对应人类95%的日常潜意识决策，依赖海量训练形成“直觉判断”，大模型擅长通过海量标签数据挖掘统计规律，在概率意义上掌握学习样本所反映出来的一些隐含知识。可以看出大模型擅长“快思考”，“慢思考”对应人类“深思熟虑”的多步推理，需结合事实性知识与外部工具，在安全领域体现为复杂威胁溯源、多维度关联分析等深度推理任务，现阶段主要通过安全智能体的方式来解决。在这两大方向上，360以实战经验为基础不断实现创新型突破。

在安全大模型实战探索中，潘剑锋介绍，360始终聚焦各类安全任务，以“在专业场景中实现小参数模型能力远超通用大尺寸模型” 为目标，在实战效果与落地能效上持续突破，整体经历了三个发展阶段。

第一阶段聚焦单个安全任务，探索垂直模型结构与训练方法创新。针对安全任务在数据、任务属性及实战需求上的独特性，360为不同任务定制专用模型并开展专项训练。以终端行为多模态研判模型为例，潘剑锋解释，从海量EDR日志中寻找攻击痕迹，如同在成千上万页文字记录中定位一个目标，难度极大。为此，360创新思路，将枯燥的EDR日志转化为“终端行为监控录像”，每条操作对应一帧画面，让AI以“看录像、看精华”的方式完成分析，最终实现了“又准、又快、又省钱”的实战效果。数据显示，该模型对EDR行为的研判与归因准确率达99.42%。

随着产品化落地深入，多模型并行导致参数过大、GPU消耗过高、应用成本攀升，且单一任务需多种模型能力协同。为此，360启动第二阶段研发，推出“多专家协同（CoE）”大模型架构。该架构以大基座为基础，可像搭积木般插入不同专家分区，多数参数固定，任务执行时无需激活所有参数，有效解决多模型协同难题，实现集约化应用。

第三阶段聚焦训练框架创新。为解决多机多卡环境下训练成本高昂的痛点，360主导（联合伯克利BAIR实验室）推出业界首个开源的RL-LoRA训练框架，并升级为支持“持续进化”的LoRA训练框架。潘剑锋表示，该框架一方面使显存和带宽开销呈数量级降低，实现极致“省” ；另一方面，节省的显存支持更大的Batch Size，使训练效率翻倍、周期大幅缩短，实现极致“快”。

在安全智能体的实践中，360以安全智能体为载体将安全专家经验、专业知识及系列工具智能化地落地到客户端，“精准性、无二义性”是实战化应用关键，其发展经历两阶段，实现从“复刻经验”到“自主决策”的进阶。

第一阶段利用Workflow精准落地复杂的安全专家经验。通过编排平台整合360独有的终端狩猎、APT威胁溯源等专家经验，结合大模型能力与安全工具，实现“媲美专家”的实战效果。但潘剑锋也指出，高阶安全专家经验的落地并达成实战化效果，过程复杂且技术门槛高，是一项系统化工程。

为此，第二阶段通过扩展模型推理能力，提升智能体自主规划与推理能力。360创新构建“蒙特卡洛联想树智能体 ”，通过“AI专家团队”使其摆脱单个AI局限，具备自主规划、试错、纠错能力，且推理路径清晰可查，成为能战略性思考、动态调整并解决复杂问题的AI系统。