近日,谷歌云官方博客正式披露了其利用Gemini AI代理大规模监控暗网的最新进展。谷歌在其威胁情报平台(Google Threat Intelligence)中引入了Gemini AI代理,用于自主监控暗网论坛,这标志着网络安全情报和AI驱动的威胁检测领域取得了重大进展。
目前,该系统目前处于公开预览阶段,依托Gemini AI代理的强大算力,每日可自动筛选超过1000万条暗网数据,通过为企业量身定制“数字画像”,在黑客发动攻击前精准识别潜在风险,例如数据泄露、内部威胁和初始访问代理活动。
“在之前的岗位上,我曾使用过几种暗网工具,发现它们的平均误报率超过90%。而新的暗网情报工具则彻底改变了这一现状,它能够过滤掉噪音,并将人类分析师无法及时发现的线索串联起来。这就像是在火苗燃起之前就将其扑灭,而不是亡羊补牢。”LastPass威胁情报总监Michael Kosak说道。
谷歌用Gemini筑起暗网防火墙
长期以来,暗网一直是网络犯罪分子的避风港,从泄露的数据库、定制的勒索软件工具到针对特定公司的攻击计划,海量情报隐藏在无数个隐秘论坛和加密频道中。传统的人工筛查或关键词检索方式在面对爆炸式增长的数据量时,往往显得捉襟见肘。
为了帮助提炼情报并发现隐藏的对手,谷歌在Google威胁情报中融入了智能体功能,并引入“暗网情报”(Dark Web Intelligence)。这项服务标志着网络安全防御从“被动响应”向“主动预判”的战略性转型,通过将情报生产从脆弱的关键词匹配转移到基于意图的分析,暗网情报可以更好地了解对手行为的背景——例如,即使威胁行为者故意避免指明受害者,也能识别出子公司的访问权限是否被攻破。
内部测试表明,该系统能够以98%的准确率分析每天数百万个外部事件,并仅突出显示对用户的任务真正重要的威胁。此外,通过提供解释威胁“原因”和“方式”的合理答案,该系统能够帮助防御者节省时间,并确保他们在日益自动化的威胁环境中保持情报优势。
此次部署标志着暗网监控方法的重大转变,传统方法依赖于静态关键词抓取和基于正则表达式的检测。这些传统方法通常会产生高达80%到90%的误报率,导致安全团队被大量无法处理的警报淹没。相比之下,Gemini利用先进的大型语言模型(LLM) 和上下文分析,显著提高了检测准确率和运行效率。
每日千万级数据的“大海捞针”
谷歌的Gemini AI代理目前每天能够自动化爬取并处理超过1000万条暗网帖子,利用大规模遥测数据和基于向量的比对方法,将威胁信号与特定的组织概况关联起来。通过整合开源情报和用户提供的数据,该系统构建了企业资产的详细概况,包括品牌、高管和技术基础设施。这使得AI能够将模糊或间接的威胁指标直接映射到相关目标。由此可以看出,这并非简单的爬虫技术,而是真正意义上的“代理式AI(Agentic AI)”应用。
该系统的核心工作流分为两个阶段:
- 组织概况构建(Profiling): Gemini首先会利用其多模态理解能力,深度学习订阅用户组织的架构、资产、关键人员以及特定的技术栈,构建出一个高度精确的“防御画像”。
- 语义化关联分析: 随后,AI代理会带着这个画像进入暗网的庞大数据库中。不同于传统的关键词匹配,Gemini能够理解黑客俚语、代码片段和非结构化的对话内容。即使黑客在讨论时使用了隐语或简称,AI代理也能通过上下文推断出其是否正在针对该组织进行漏洞买卖或数据泄露。
这种大规模的语义分析能力,使得企业能够从每天数千万条“噪音”中,精准提取出那几条致命的威胁情报。
防御者的“降维打击”
谷歌威胁情报团队指出,目前的网络攻击链条中,从初始入侵到数据榨取的时间窗口正在不断缩短。传统的防御手段往往在数据已经出现在暗网交易平台上后才能感知,而Gemini AI代理的目标是在攻击者还在讨论“可行性”或“分赃协议”阶段就发出预警。
此外,该服务还集成了曼迪昂特(Mandiant)多年积累的实战情报。通过将Gemini的实时处理能力与曼迪昂特的历史威胁库相结合,系统可以识别出特定威胁源(APT组织)的作案手法。对于安全运营中心(SOC)的工程师来说,这意味着他们不再需要熬夜翻看晦涩的暗网日志,Gemini会直接递交一份包含“谁在威胁我们、他们拥有什么筹码、我们该如何封堵”的简报(支持中文等各种语言)。
随着这一服务的公开预览,谷歌显然意在通过AI原生安全能力重新定义企业级防火墙。在AI与AI对抗的时代,拥有最强“代理人”的企业,或许才能在这场永无止境的猫鼠游戏中赢得先机。