作者：来自 Elastic Mika Ayenson, PhD

构建 AI 增强安全系统的实践考量。

自 2000 年代初以来，安全团队和 SOC 分析师仍然面临相同的一线响应挑战，从警报数量到威胁遗漏。虽然生成式 AI 提供了有前景的解决方案，但要构建超越简单 LLM 集成的高效 AI 增强安全系统，需要深入的知识和细致的考量，以应对当今的复杂性和人工决策过程。

通过 Agentic 框架改造检测工程

Agentic 框架代表了安全运营运作方式的根本性转变。AI 代理不再依赖静态剧本，而是能够分析警报、收集上下文信息，并根据发现动态调整行为。这类系统在警报分级方面表现出色，能够自动用威胁情报丰富数据，并根据观察到的模式持续优化检测规则。通过整合推理能力，代理可以解释上下文、选择最佳的数据丰富来源，并迭代优化结论，更像熟练的分析师，而不是僵化的脚本。

工程挑战与实践解决方案

然而，构建生产级的 Agentic 系统存在独特的工程挑战。实际解决方案包括：精心的代理设计与专门化（专注型专家 vs. 多面型通才）、稳健的结构化输入/输出模式以确保可靠的代理间通信、与基础设施和安全工具的集成以访问上下文数据。在高风险场景下，自动化决策的可信度绝不能受到影响。

幸运的是，框架支持的质量保证机制已可用，例如用于自我评估的批判循环，以及防止幻觉 / 提示注入的防护措施。即便是成本管理也成为关键决策点，因为代理在调查过程中可能会生成大量 API 调用并消耗大量 token，因此需要优化 LLM 性能并高效利用资源。

人机协作：未来之路

这些技术是对安全分析师的增强，而不是取代。我们距离传统的 AGI 概念还很遥远。通过自动化常规警报分析，代理能让人类分析师和检测工程师专注于复杂调查和战略安全决策，而不是被琐碎任务淹没。

要了解更多开发先进 AI 增强安全系统的细节，请查看完整白皮书《Agentic 框架：构建 AI 增强安全系统的实践考量》。

原文：Agentic Frameworks Summary — Elastic Security Labs