谷歌Gemini智能体深入暗网分析威胁情报

谷歌的Gemini智能体正在暗网中进行大规模信息搜集，每日分析超过1000万条帖子，从中筛选出与特定组织相关的少数威胁。

目前已开放公开预览的暗网情报服务集成在谷歌威胁情报平台中，使用Gemini模型为用户组织构建档案。然后在暗网中进行搜索，确定组织面临的安全风险。

谷歌威胁猎手向The Register表示，他们的内部测试显示该系统能够以98%的准确率分析每日数百万个外部事件。

谷歌威胁情报产品经理Brandon Wood表示："我们现在使用Gemini处理暗网上的每一篇帖子，然后从中提炼出真正重要的威胁。"这包括初始访问代理活动、数据泄露、内部威胁和其他情报。

"我们每天看到800万到1000万个事件，能够在很短的处理时间内将其精炼。"他说。

相比之下，传统的暗网监控工具主要通过关键词抓取和正则表达式匹配，产生80%到90%的误报率。Wood表示："这主要只是为威胁情报团队制造噪音。"

新服务的工作原理如下：客户（比如Acme银行）首次打开暗网监控模块，确认身份后，Gemini构建客户档案。

"几分钟内，我们会返回一个包含对客户、其环境、业务运营、重要人物、品牌、技术等深度理解的档案，"Wood说。"这些都是开源的、公开可用的信息，我们也提供所有内容的引用，试图缩小人工智能和大语言模型的黑盒。"

该工具接下来会自动生成警报，回溯七天来对潜在威胁进行分类。智能体对暗网数据进行标记，然后执行向量比较以检测可能影响组织的被盗数据或恶意活动。

"几分钟内，过去一周的警报就会涌入，我们用非常简单的术语对每个警报进行优先级排序，"Wood说。"我们查看每个警报的相关性。威胁行为者是否在具体谈论我组织档案中的要素？然后他们是否可能在谈论我档案中的要素？这稍微模糊一些。"

例如，如果暗网上的犯罪分子声称正在出售一家拥有超过5万名员工和500亿美元资产管理的大型北美银行的访问权限，Gemini会在Acme银行档案和攻击者声明之间建立连接，并将其识别为高严重性威胁。

Gemini还整合了谷歌威胁情报组人类分析师的知识，他们跟踪627个威胁组织。

"我们在查看这个初始访问构建者有多严重？这个数据泄露有多严重？使用Gemini读取我们放入后台的上下文，然后生成警报，"Wood说。"我们的目标是摆脱数百数千个主要是误报的警报。"

谷歌希望客户能够信任描述关键威胁的AI生成建议。

然而，根据赋予Gemini暗网情报智能体的访问级别，这个AI工具似乎可能为网络犯罪分子创造另一个攻击向量。

"我们主要专注于公开可用的信息和用户选择放入平台的上下文，"Wood说。"谷歌深度关心保护用户信息。我们仔细考虑如何整合越来越多的洞察和功能，但我们确实与用户和客户合作，确保在如何交换信息方面有大量透明度。"

除了暗网情报工具外，谷歌还在谷歌安全运营中添加了智能体（预览版）来自动化威胁响应。客户可以将智能体（包括谷歌的分诊和调查智能体）直接嵌入工作流程，让其自主调查警报、收集分析证据并提供判决及其推理解释。

此外，谷歌安全运营客户现在可以通过远程模型上下文协议（MCP）服务器支持构建自己的企业安全智能体。这项现已正式可用的功能意味着客户无需托管自己的安全运营MCP服务器客户端，还能在谷歌安全运营中为其构建的安全智能体提供统一治理和控制。

Q&A

Q1：Gemini智能体如何分析暗网威胁情报？

A：Gemini智能体每天分析超过1000万条暗网帖子，使用AI模型为组织构建档案，然后搜索暗网确定安全风险。系统能以98%的准确率分析外部事件，并将大量数据精炼为相关威胁信息。

Q2：传统暗网监控工具存在什么问题？

A：传统工具主要通过关键词抓取和正则表达式匹配，产生80%到90%的误报率，主要为威胁情报团队制造噪音。而Gemini能够大幅减少误报，提供更精准的威胁识别。

Q3：谷歌如何确保用户信息安全？

A：谷歌主要使用公开可用的信息和用户选择提供的上下文，深度关心保护用户信息。在整合更多功能时会仔细考虑，与客户合作确保信息交换的透明度和安全性。