随着数字化转型的深入与网络威胁的不断演进,企业面临的安全挑战愈加严峻。传统的安全检测工程流程复杂繁琐,需要高度专业化的技术团队进行细致的日志格式分析、威胁建模以及检测规则的手工编写与反复调试,耗时巨大,且容易出现盲区与误报。Block作为行业领先的数字支付和金融科技公司,勇于拥抱技术革新,通过打造AI驱动的检测工程民主化方案,实现跨部门协作的安全生产力提升。本文将深入解析Block如何利用开源AI代理Goose与Panther MCP平台,颠覆传统检测开发模式,打造人人可参与、效率倍增的安全检测新时代。 检测工程的挑战长期以来限制了企业安全能力的广度和深度。构建精准有效的威胁检测规则不仅要求开发者具备丰富的专业知识和编程技能,还需要熟悉复杂的日志数据结构和安全事件场景。
即便是经验丰富的安全团队,也因为人力和时间资源有限,难以快速响应动态多变的威胁环境,导致潜在风险难以及时发现与处理。此外,谦逊的技术门槛和繁复的工作流程阻碍了非安全背景专家的参与,造成开发瓶颈和知识孤岛。 基于这样的背景,Block启动了检测工程民主化战略,旨在降低技术门槛,让组织内更多的成员能够基于自身对业务和场景的理解,快速且准确地贡献高质量的安全检测规则。为实现这一愿景,Block联合开源社区开发了Panther MCP(模型上下文协议),并将其深度集成进自研的AI智能代理Goose。两者的结合不仅实现了自然语言指令向执行代码的自动转换,还支持交互式数据探索和统一的警报管理,极大地丰富了安全分析人员和工程师的工具箱。 Panther MCP作为一款开源安全分析平台,其模型上下文协议赋予系统以强大的扩展能力,使得复杂的检测编写流程转化成直观的自然语言交互。
用户不需编写一行代码,只需用简单的英文描述威胁行为,即可由Goose智能代理调用Panther MCP的转换工具生成严格遵循平台规范的检测规则脚本。此外,Panther MCP还能基于实际日志数据提供上下文参考,支持使用者快速校验和调整规则的准确性和覆盖面。 Goose则扮演了核心的智能中介角色,它不仅理解和解析用户的自然语言输入,还负责从多个数据源获取结构化的日志样例、识别潜在误报场景,以及自动生成包括检测逻辑函数、元数据函数和配置文件在内的完整规则体系。其自动化的反馈机制使得规则的单元测试、代码风格检测和多重验证成为常规工作环节,显著提升了检测产出的质量保证水平。 通过以“用户自助描述动作”为起点,Goose实现了从威胁研究、日志筛选、检测目标定义到规则开发、测试验证以及文档生成的全流程AI驱动自动化。这种方法不仅模拟了资深检测工程师的思考流程,还结合了组织内部已有规则的学习与借鉴,确保新生成代码的规范一致与可靠性。
举例来说,针对Okta中用户自行将自己添加到特权组的检测需求,Goose通过分析Okta.SystemLog日志结构和历史事件样本,构造出精准识别恶意权限提升的检测逻辑,减少了人工调试成本和潜在误报。 这一智能检测规则生成流程的背后,离不开Panther MCP与Goose高度集成的技术架构。Panther MCP作为Goose的扩展插件,提供了完善的API服务连接PANther后台系统,支持灵活调用多样化的工具链。同时,借助.goosehints文件的上下文提示机制,Goose能够根据传统最佳实践和组织定制要求生成同步符合高标准的检测代码和配置,确保部署后可以无缝集成到现有的安全运营体系中。 在实际应用中,Block构建了开放协作的检测开发流程。任何员工都可提交自然语言的检测规则提案,Goose快速生成初版代码,安全检测团队进行质量审核后推向测试环境,最终上线生产。
这种自助式的机制极大提升了检测规则的覆盖范围,让安全团队从繁重而重复的编码工作中解放出来,去专注于更具战略意义的威胁调研和响应工作。与此同时,跨部门的协作也得以加强,合规团队、威胁情报部门及业务专家纷纷参与到检测创新中,带来了更加多元的视角和面向细分场景的细致检测。 伴随着Block推动的检测工程民主化,团队还注重统一规范的制定和代码质量维护。生成的检测代码严格遵守平台推荐的编程实践,支持细粒度类型声明、丰富的函数注释以及统一的代码格式风格。每条检测均配备至少两个覆盖正反两方面的测试用例,利用Panther的分析工具自动化验证,保证准确度和稳定性。此外,文件命名规则、元数据字段定义与MITRE ATT&CK框架的映射,进一步增强了检测系统的可维护性、一致性以及业务关联度。
对于安全运营团队而言,利用Goose和Panther MCP提供的自然语言交互和自动化生成能力,使日常的报警处理、规则调整和场景探索变得更加高效和智能。系统能够结合历史警报和事件响应数据,快速筛选出关键告警,指导后续操作流程。通过开放的智能检测构建平台,Block实现了安全防御体系的跨越式演进,既缩短了安全事件的响应时间,也显著降低了误报率与管理负担。 展望未来,Block将继续深化AI技术在安全领域的应用,持续优化Goose与Panther MCP的功能,探索多模型协作和本地AI推理能力,支持更广泛的安全检测需求和自动化防御。民主化安全检测工程不仅是技术层面的突破,更代表着安全文化的转变——从单点专家驱动向全员参与迈进,打造更加敏捷和强韧的安全防线。 总的来说,Block通过整合开源技术与自研AI智能代理,成功实现了检测工程的民主化,不仅极大降低了检测开发的技术门槛,提升了开发效率,更促进了安全与业务的深度融合,为安全实践注入了创新活力。
这种以自然语言为接口,由AI辅助生成规则的方法,为全球其他企业打造智能安全运营和响应自动化提供了宝贵经验和示范。随着威胁环境的不断演变,只有持续拥抱创新技术,推动跨职能协同,才能构筑谁都能参与的安全堡垒,守护数字世界的安全与信任。
