系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

SherAgent:LLM 驱动的攻击调查,及其继承的信任问题

2026 年 7 月的一篇论文把 LLM 智能体放进 SOC 循环,从溯源图重建攻击过程。这是实实在在的能力提升——也提醒我们:任何对可被篡改日志进行推理的智能体都会继承一个注入面。

2026-07-17 // 5 min affects: llm-agents, soc-automation, security-agents

这是什么?

2026 年 7 月 10 日,来自浙江大学、腾讯安全科恩实验室(Tencent Security Keen Lab)和霍夫斯特拉大学(Hofstra University)的研究者在 arXiv 上发布了 SherAgent: Scaling Attack Investigation in the Wild via LLM-Empowered Iterative Query-Filter Backtracking(已投稿 CAMLIS 2026)。论文描述了一个 LLM 智能体,它从溯源图中重建攻击的来龙去脉——溯源图记录了哪个进程派生了哪个进程、读取了哪个文件、打开了哪个连接,正是分析师用来回答”这里究竟发生了什么”的原始素材。

这项工作值得关注,是因为它是与一家服务数十亿用户的大型互联网企业的安全运营中心(SOC)共同构建和评估的,而不仅仅是在合成基准上。它属于 2026 年一条非常活跃的研究方向:用语言模型自动化基于溯源的调查,与Minos(多智能体反向追踪)以及威胁情报增强的调查等工作并列。

工作原理

基于溯源的调查在生产环境中有两个长期存在的失败模式。依赖爆炸:沿着每一条因果边追下去,图会膨胀到数百万个节点,没有分析师读得完。因果链断裂:真实遥测存在缺口——事件丢失、动作未记录——于是从告警到根因的链条会直接断开。

SherAgent 的设计不是单一技巧,而是一个迭代的 query-filter backtracking(查询—过滤—回溯)循环。

阶段             作用
---------------  ----------------------------------------------------------
查询             智能体从当前节点发出一次溯源查询,借助 LLM 对非结构化上下文
                 (告警、情报笔记)的推理,决定下一步该看哪里。
扩展             当因果链因事件缺失而断裂时,动态校准查询条件以扩大范围,
                 弥合缺口,而不是走进死胡同。
过滤             对结果进行精确过滤,仅保留具有战略意义的节点用于下一跳——
                 这是抑制依赖爆炸的关键杠杆。
回溯             如果某条分支无功而返,就退回并重新查询,迭代逼近一个
                 连贯的攻击叙事。

语义层做到了规则引擎做不到的事:读取一条自由文本的事件笔记或一段威胁情报,并将其转化为下一次查询。此处不复现任何漏洞利用;这是一篇防御性工具论文。

为何重要

同时有两点。首先是好处:调查是 SOC 中最耗费人力的环节之一,而一个能把数小时的手工图遍历转化为迭代智能体循环的工具,对防御方而言是实打实的力量倍增器——这与我们此前报道过的基准与狩猎智能体方向一致,例如 AuditBench威胁狩猎评估工作

其次是每个部署方案都应写明的保留意见:调查智能体所推理的,是攻击者已经接触过的数据。审计日志、进程参数、文件名、情报片段都可能被对手影响,任何为决定下一步动作而读取不可信内容的智能体,都会继承我们在 SOC 日志投毒针对调试智能体的日志注入 中记录过的间接注入面。SherAgent 并未引入这一风险,其作者也没有声称已经解决它——但一个调查循环越是根据所读内容去行动,这个注入面就越关键。

防御

如果你正在试点 LLM 调查或狩猎智能体,请把以下几点视为部署要求,而非可选的加固。

  1. 把一切被摄入的遥测都当作不可信输入。 日志字段、命令行、文件名和情报文本都可能夹带植入的指令。把智能体读取的内容与管辖它的指令隔离开,绝不让一段日志字符串悄悄变成一条指令。
  2. 默认让智能体保持只读。 调查助手应当呈现发现,而不是执行处置。把任何隔离、封禁或账户操作都置于明确的人工审批之后,使一个被投毒的结论无法触发一个被投毒的响应。
  3. 让智能体自身的查询可审计。 记录每一次查询、每一次扩展和每一次节点选择。如果这个循环可能被引偏离真实攻击,你会希望事后能证明这一点。
  4. 在叙事层面而非仅在告警层面保留人工介入。 价值在于一个连贯的叙事;一个貌似合理却错误的叙事比没有更糟。让分析师在根因结论驱动决策之前对其进行验证。
  5. 严格限定工具与数据访问。 只给智能体所需的最少溯源来源和连接器,使被攻陷的循环具有受限的影响半径。

状态

项目参考日期备注
论文arXiv 2607.09176v12026-07-10已投稿 CAMLIS 2026
单位浙江大学;腾讯安全科恩实验室;霍夫斯特拉大学2026
评估环境某大型互联网企业 SOC2026”In the wild”,非仅基准
相关工作Minos (2607.00440);威胁情报增强的调查 (2509.01271)2026 / 2025同一研究方向

诚实的定位:SherAgent 在自动化防御中一项艰难、极度依赖人力的环节上迈出了实实在在的一步,防御方应当欢迎它。要有的纪律是:把它部署为一个只读、可审计的助手,作用于你早已假定被对手塑造过的数据之上——让智能体加速调查,而不是成为误导调查的新途径。

Sources