一个MANUS化智能体集群的安全监测体系架构方案:构建“感知—分析—验证—预警”自主闭环
让每一句人机对话都安全可信,让每一次智能交互都风险可控——这是属于AI时代的安全承诺。
—— 启明星辰
智能体进化本质是将人类应对不确定性的经验数字化、算法化、自主化。在攻防博弈这一充满高度不确定性的领域中,将智能体集群应用于网络攻击征兆及事件的发现方向,通过多个独立决策单元之间的协同合作,能够实现复杂任务的精细拆解、动态环境的高效适应,以及资源的灵活调配等。各类专业能力优势互补,不仅能显著提升预警研判的准确性和效率,还可以有效控制成本,让安全专家从重复性工作中解脱出来,进而投入到战略级别风险研判当中。
2025年3月初,号称“全球首款全自主执行复杂任务的数字代理人”的Manus产品一经推出,就搅动了业界,推崇者、质疑者就纷至沓来。
借禅宗著名的“指月公案”来比喻。
尽管Manus存在诸多争议和讨论,我们却不一定要把注意力都聚焦在“Manus”这只手上。我们可以去仔细审视这只手所指的月亮——AGI通用人工智能、以及月亮周围的星辰——通向AGI的智能体集群路线。
而以智能体集群路线,对安全开展全面智能改造,主要就是两点:其一,让基础安全能力原子化、工具化、智能体化;其二,构建一个多智能体、智能体集群的安全体系。
M·A·N·U·S代表了智能体集群的五个关键特征:
M – 多智能体协同 Multi-Agent Synergy A – 自主执行 Autonomous Execution N – 自然交互框架 Natural Interaction Framework U – 统一工具和应用接口 Unified Tool & Application Interface S – 安全合规网格 Secure-Compliance Mesh
安全智能体集群的MANUS化路线,正影响着启明星辰(002439)乃至整个产业的安全能力和安全产品格局。
网络安全监测预警在网络安全防护体系中的地位作用至关重要,是保障网络信息系统安全运行,辅助生成正确安全决策,提升应急响应能力等方面的重要支撑。
当前伴随着各种新型攻击手段不断涌现,网络安全监测预警面临新的严峻挑战。传统网络安全监测手段分散布设、效率低下、覆盖不全,海量监测信息处理低效、响应迟缓、分析失准,高端网络安全人才匮乏,缺少综合评估能力,导致虽然网络安全日志收集的非常多,但有价值、有意义的网络安全事件却不可见、不可知、不可评。
针对上述问题,启明星辰集团在网络安全监测预警完整流程中,将多智能体技术与多模态探测感知、智能分析研判、动态验证闭环与情报预警生成进行融合,将孤立的若干安全能力深度整合,突破了传统安全“被动检测、分析滞后、专家依赖度高”等局限性,实现了从数据采集到预警发布的全流程智能化跃迁。
01
面向任务目标的监测预警体系重构
传统网络安全监测预警希望通过各类传感探测设备的静态堆叠,构建面面俱到的监测系统以及时发现攻击事件。但在实际使用当中,单纯依赖设备自动化监测的效果往往不理想,必须由专业团队结合专业监测工具,构建完备的7*24小时安全运营机制,才能有效分析发现各类风险和威胁,提升安全防护能力。
安全智能体技术以目标任务为导向,深度整合专业人员在安全处理方面的知识与经验,将安全人员脑力层面的重复性工作交由智能体承担。这一变革能够极大地提升网络安全监测预警的效能。从智能体工作的视角来看,网络安全监测预警的流程亟待重塑,具体如下:
智能体监测预警主要流程
上述流程是监测预警智能体通用流程,与现有网络安全领域的监测分析产品相比,其最大的特点有三个:
1、事先确定监测预警目的,所有工作围绕特定目标开展,聚焦到具体点上,所以目标是整个监测预警系统的起点。
2、最终形成安全情报产品,这种产品不是泛泛的信息,不是花哨炫酷的图表,而是嵌入到认知背景当中的情报,与使命任务相关,与自身环境相关,与行动决策相关,是具体的、有意义的结论,并能够逐步累积形成知识。
3、多智能体系统协同,主控代理模块与执行代理模块相分离,每一个模块基于不同能力微调的大模型,或同一大模型注入不同系统提示词,以聚焦高质量完成单项任务,在安全专家的指导监督下,最后进行全局整合协调,确保任务顺利、高效达成。
02
基于ReAct框架的智能推理与自动执行
智能体ReAct框架遵循“观察—思考—行动”循环。观察(Observation)接收外部输入,如用户提问或环境状态;推理(Reasoning)分析问题,分解任务,并规划下一步行动;行动(Acting)调用监测分析相关工具,或与环境进行交互。以上过程反馈迭代,直到任务完成。
启明星辰集团深耕网络安全领域近30年,积累了海量安全数据,微调了专属的安全垂直领域大模型,并依此构建了安星智能体,使其在知识积累、推理分析和工具调用等方面的准确性大幅提升。此外,启明星辰集团依托移动云的云原生安全防护能力建设,将自身安全手段全面API接口化、标准化,已经完成了类似MCP那样的标准框架,成功打造了完备的工具生态。这些举措都是构建安全智能体前期准备工作中不可或缺的重要环节。基于安星智能体,网络安全监测预警体系能力大幅提升,成本大幅下降。
1、多模态探测感知:突破碎片化监测与数据孤岛
传统安全监测系统依赖单一数据源,而启明星辰集团的安星智能体通过目标理解、任务分解,利用漏洞扫描、攻击模拟等主动探测与融合流量探针、终端日志采集等被动感知的立体化协同机制,构建全网全要素的动态感知Overlay网络,将传统离散的监控数据转化为时空关联的“全息感知网络”,覆盖APT攻击、0day漏洞、隐蔽隧道等传统安全难以检测的高级别风险威胁。
2、智能安全分析:从规则匹配到因果推理的威胁研判
传统系统依靠人工经验构建规则,决策人员往往淹没在海量无效数据中而无所适从,而启明星辰集团的安星智能体,借助大模型驱动的逻辑推理与知识进化能力,实现深度威胁挖掘。通过融合Nl2sql、Sqlschema等技术,能够调用扩线分析、溯源分析、关联分析、行为分析等多样化能力,通过因果非线性推理精准识别攻击者意图、还原攻击链、提前预判威胁,并实现知识动态更新。这些技术大幅提升告警准确率,显著降低误报率,极大增强了网络安全监测预警的有效性。
3、攻防试验验证:虚实结合的动态安全推演与确认
传统试验验证需人工搭建测试环境,不仅成本高昂,效率也极为低下。安星智能体借助沙箱仿真与对抗训练,实现风险动态验证。依托模型推理、工具调用等能力,安星智能体能够构建虚实融合、灵活可变、贴近实际的模拟环境。向其中注入威胁漏洞,生成对抗样本,以此精准验证安全风险的技术栈和影响后果。同时,将试验过程中的误报、漏报数据用于反哺训练,形成“监测—验证—优化”的闭环反馈机制,持续优化性能。
4、预警信息整编分发:大模型原生能力充分再利用
在分析确认网络安全事件和状态后,需要对网络安全数据和情报等信息进行综合处理,形成方便指挥人员进行决策的态势,并将情报在相关单位之间共享。一方面,利用智能体自动叠加、编辑、整理修饰等能力,汇集网络资源的结构、特征、属性和威胁等信息,整编形成网络重要目标数据和攻防动态,对网络情况、攻击手段、作用方式与攻防结果等信息进行关联查询比对,为网络安全人员多角度印证网络安全情报提供支撑。另一方面,以对话应用、信息发布、订阅分发等方式,定向投递态势情报产品信息,支持不同机构之间的情报信息共享,使网络安全人员对网络情报和态势形成一致的认识和理解。
03
结语
安全智能体通过跨层能力融合,成功攻克了传统监测预警体系中数据碎片化、分析响应迟缓等难题。它不仅实现了威胁精准预测、风险动态验证以及知识自主进化这些重大突破,还重塑了人机协同模式。智能体把安全专家从重复性工作里解放出来,使其能够专注于战略级风险研判,实现从“人在回路内”到“人在回路上”的转变。
展望未来,随着大模型智能体技术不断迭代升级,它将朝着轻量化、无人化、自主化方向加速迈进,最终达成“人在回路外”的安全风险管理与威胁应对新能力、新境界。
