代理 AI 开始重塑恶意软件检测及更广泛的安全操作。这些系统并不是用来取代人类,而是用来承担一些低价值的工作,从分类告警到对可疑文件进行逆向工程。在历史上,这些工作一直束缚着分析师。
微软的 Ire 项目是一个近期备受瞩目的例子。该代理系统能够自主逆向工程软件,并且最近生成了第一个由AI撰写的“定罪”证据,足以使 Windows Defender 阻止一个高级持续性威胁(APT)。
在受控测试中,它在 Windows 驱动程序数据集上实现了 0.98 的精确度和 0.83 的召回率,在 Defender 遥测数据上大约实现了 89%的精确度,不过召回率下降到了 25%。这种权衡使得 Ire 最适合用于分类。在这种情况下,最小化误报可能比捕获每个恶意文件更有价值。
该公司还预览了一个钓鱼分类代理。它处理用户报告的电子邮件,并为安全团队生成自然语言描述的理由。
其他供应商也在朝着同样的方向努力。CrowdStrike将Charlotte AI嵌入到了其Falcon平台中,借助上下文说明实现了自动分类。ReliaQuest的GreyMatter平台整合了代理 AI,可以自动执行跨集成安全工具的检测、调查和响应。
研究团队也在做出贡献。谷歌的Big Sleep代理揭露了一个关键的 SQLite 漏洞(CVE-2025-6965),而其 Sec-Gemini 模型正在增强威胁和根因分析取证工作流。
尽管它们针对的问题不同,从恶意软件分析到钓鱼检测到取证工作流,这些系统的设计理念是类似的。它们不仅仅是生成一个分类,而且还生成结构化输出供分析师审查,使透明度成为其操作的核心部分。
一个决定性的特征是它们生成的证据链。这些代理不是简单地发出一个是或否的结论,而是生成支持工件、摘要、原因或结构化报告,供分析人员查看。
图 1:项目 Ire 证据链
很多安全团队已经在采用 AI 代理。7 月份ISC²引用的一项调查发现,30%的安全团队已经将代理 AI 整合到操作中,主要针对一级和二级分类。另有 42%正在评估代理 AI 的采用。
这一点在行业报告中也有所反映。福布斯和Axios的报道表明,企业正使用它们新安装的代理来优先处理告警,释放分析师的时间,让他们从事更高价值的工作。
对于从业者来说,这些工具的价值在于它们可以增强现有的流程——帮助减少告警疲劳并加速调查,同时将判断和高风险决策留给人类专家来完成。
代理 AI 的必要性还体现在提升自动化水平上。安全团队面临着告警量持续增长和熟练分析师长期短缺的问题,这使得自动化低价值任务成了优先事项。
但安全风险影响了人们的采用热情。最近,一份在安全背景下对大型语言模型的分析警告说,代理 AI 存在幻觉、上下文意识有限及推理弱等问题,部署在实时检测流程中时会导致召回率降低。
此外,行业专家警告说,如果在没有监督的情况下部署高精确度代理系统,可能会产生新的盲点。
综上所述,上述发展动态表明,未来代理 AI 将成为安全管道中的一个标准强化层:规模化分析、提高一致性和处理重复性工作,而人类仍将负责监督和高风险决策。
声明:本文为 InfoQ 翻译,未经许可禁止转载。
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论