当攻击者用AI发起攻击,你还在手动处理告警信息吗?
如果你的安全团队每天收到上千条告警,真正看的不到10%,剩下的淹没在队列里——你已经被AI攻击者甩在身后了。
白皮书第V部分指出:攻击者利用AI可以将漏洞利用时间从数月压缩到数小时,并且以极低成本大规模扫描。防御方如果还停留在“人工审告警、手动写报告”的阶段,根本无法对抗。
解决方案不是把人移除,而是把人从“记账”移到“决策”。让AI做初筛、取证、关联、写报告,人类只做遏制、通报、客户沟通。
这就是Agentic SOAR(智能体安全编排自动化与响应)。今天这篇,讲的就是如何用AI对抗AI。
一、为什么要用AI做防御?因为人工追不上
白皮书给出一个残酷的现实:攻击者可以同时攻击成百上千个系统,而人类看完一个告警的时间,攻击者已经完成整个攻击链。
传统SOAR依赖预定义剧本,应对已知场景。但AI攻击会实时变异,剧本跟不上。
Agentic SOAR增加了自适应能力:AI智能体可以阅读新情况、自主计划调查步骤、调用工具收集证据,最后给人类一个可读的报告。
这不是取代安全分析师,而是让他们从重复劳动中解放出来,专注于真正需要人类判断的地方。
二、把模型放在告警队列的最前面
第一步:为每一条告警自动做初筛。
实现方式:写一个“三合一”智能体(只读访问SIEM + 一组有限的查询工具 + 结构化输出模板)。这个智能体对每条告警执行:
查询:检索关联的原始日志、资产信息、用户上下文。
思考:判断这是误报、已知模式还是需要升级。
报告:输出固定格式(例如:威胁类型、置信度、建议动作、关键证据)。
人类分析师每天只需要处理那些“置信度高且需要决策”的告警,而不是所有原始告警。
实践起步建议:选一条已知高误报率的告警规则,让模型处理两周,与人工复核结果对比。一致性满意后,扩大到下一条规则。不要一次自动化全部队列。
三、Agentic SOAR的响应能力
当检测到真实威胁时,智能体可以执行以下动作(需预先授权):
隔离:在网络层或系统层自动隔离受影响的智能体或主机。
动态调整权限:调用ABAC引擎,立即降权或撤销该身份的所有特权。
终止会话:强制结束智能体的当前会话。
吊销凭据:通知身份提供商吊销令牌,阻断后续请求。
这些操作都依赖第三篇中建立的“基于身份的隔离”和“短生命周期凭据”基础设施。没有这些,你想吊销凭据都不知道吊销哪个。
重要原则:自动化“做账”,不要自动化“决策”。遏制操作(如隔离、吊销)可以自动执行,但披露决策、客户沟通、法规上报必须有人类在回路。自动化的响应应设置熔断——例如连续三次自动隔离后,必须人工确认才能继续。
四、用MITRE ATT&CK映射检测覆盖率
白皮书推荐使用MITRE ATT&CK框架来评估你当前能检测哪些攻击技术。
具体做法:
列出所有安全工具(SIEM、EDR、云监控等)。
对照MITRE ATT&CK矩阵,标记每个技术你是否有检测能力。
优先覆盖“横向移动”和“凭据访问”——这两类是AI攻击者利用失陷智能体身份获得最大杠杆的地方。
快速验证:使用Atomic Red Team(开源原子测试库)运行几个小测试,看看你的日志真正捕获到了多少。一两个小时就能得到一张具体的覆盖图。
五、演练“5个同时发生的严重事件”,而不是1个
传统的桌演(tabletop exercise)假设周一有一个严重的CVE。白皮书说:升级难度——假设同一周发生5个不同的严重事件。
检查你的流程:
事件接收、分流、修复跟踪是否还靠电子表格和每周会议?——那会崩溃。
应急变更审批流程是多长?如果需要两周,本身就是一个安全漏洞。
谁能授权紧急遏制(下线服务、吊销凭据、阻断网络)?授权路径是否预先定义并演练过?
提前建立紧急变更程序:决定谁可以批准、多快能批准、需要什么证据。不要等到事发时才想。
六、防御智能体本身也要零信任
Agentic SOAR功能强大,但它的“爆炸半径”也很大。一个被入侵的防御智能体可以关闭所有安全控制。
因此,防御智能体也要遵守同样的零信任原则:
已验证完整性:防御智能体运行在强化环境中,启动时需远程证明。
有限爆炸半径:防御智能体只有最小必要权限。自动响应动作应有明确范围(例如只能隔离测试环境,不能动生产)。
清晰升级路径:自动响应生成告警给人类,高影响动作即使系统推荐也需人工确认。
可观测性:防御智能体的所有动作都要日志、追踪、审计,和其他智能体一样。
写在最后:给创业者和OPC的三条自动化安全起步建议
你不需要大型SIEM和SOAR平台也能开始。以下三条,成本低、见效快:
1. 选一条告警规则,接一个LLM做初筛。
用GPT或Claude API,给每条告警输出“误报/需关注/紧急”三分类,附带一句解释。每天花15分钟复核模型判断。两周后你就能信任它——可以把它的结论直接作为过滤条件。
2. 建一个“异常行为自动降权”脚本。
如果你的智能体有ABAC(属性访问控制),写一个定时任务:检测到某个智能体在过去1小时内调用某工具的频次超过正常值3倍,自动将其权限降到“只读”。没有ABAC?那就直接发邮件+钉钉/微信告警。
3. 跑一次“双事件并行”桌演。
叫上团队(哪怕只有你一个人),模拟两个告警同时到达:一个提示注入,一个异常数据导出。在白板上写下:第一步做什么?谁决策?多快能遏制?记录下所有“卡住”的地方,然后改进流程。
白皮书最后一句话:“基础扎实的组织——AI扫描找不到几个bug、智能体从第一天就为失陷而设计——才是AI时代的安全赢家。”
你不需要一下子做到Advanced。但你需要从今天开始,把第一块石头放对位置。
关键词标签:
#AgenticSOAR #AI对抗AI #告警自动化 #MITRE ATT&CK #AtomicRedTeam #应急变更 #防御智能体 #驻留时间 #安全运营 #创业安全
相关阅读:
Anthropic安全白皮书1|零信任 for AI Agents:AI时代的智能体安全,不能再靠“防火墙”了
Anthropic安全白皮书2|三级成熟度模型:你的AI智能体该配哪级安全?
Anthropic安全白皮书3|8步落地零信任:智能体身份、工具、内存、供应链,手把手防住AI攻击
)
