تصور کنید یک تحلیلگر امنیتی ساعتها وقت خود را صرف نوشتن کدهای پیچیده برای یافتن یک اثر حمله میکند، در حالی که میتوانست فقط سؤال خود را بپرسد. شکاف میان فرضیهی یک شکارچی تهدید و دسترسی به دادههای عملیاتی، دقیقاً جایی است که یک عامل (Agent) — شبیه دستیاری که دستورات شفاهی را به زبان فنی ماشین ترجمه میکند — وارد عمل میشود.
طبق گزارشی که در ۲۹ ژوئن ۲۰۲۶ منتشر شد، این پروژه از Gemini برای خودکارسازی فرآیند خستهکنندهی نوشتن زبان پرسوجوی کوستو (KQL) برای Microsoft Sentinel و Azure Log Analytics استفاده میکند. یافتن تهدیدات در دادههای تلهمتری امنیتی معمولاً به دلیل کمبود داده شکست نمیخورد، بلکه به دلیل زمان زیادی است که برای نوشتن پرسوجوهای دقیق لازم است.
همانطور که در بحثهای گذشتهی ما دربارهی امنیت مدلهای بازمتن اشاره کردیم، ریسک اجرای کدهای تولیدشده توسط AI در محیطهای حساس بسیار بالاست. این گردشکار برای حل این مشکل، نقشهبرداری دستی از فعالیتها به تکنیکهای حمله را با یک خطلوله ساختاریافته جایگزین میکند.
به نقل از راهنمای فنی dev.to، معماری این سامانه از یک توالی سخت پیروی میکند: ابتدا Gemini اهداف را انتخاب میکند، سپس حفاظها (Guardrails) آنها را تأیید میکنند و در نهایت یک پرسوجوی KQL محدود اجرا میشود. ویژگیهای فنی کلیدی این سیستم عبارتاند از:
- اعتبارسنجی قطعی: هر جدول و فیلد پیش از اجرا با یک «فهرست مجاز» بررسی میشود تا از اجرای پرسوجوهای حاصل از توهم (Hallucination) — زمانی که مدل با اطمینان چیزی میگوید که وجود ندارد، شبیه دوستی که خاطرهای را اشتباه تعریف میکند — جلوگیری شود.
- نگاشت تهدید: همراستاسازی خودکار یافتهها با چارچوب MITRE ATT&CK.
- تست مصنوعی: استفاده از ابزارهای سفارشی برای تولید لاگهای جعلی Entra ID و شبکه جهت آزمایش عامل بدون افشای دادههای حساس تولیدی.
- سنجش عملیاتی: ردیابی داخلی برای میزان مصرف توکن (Token) — تکههای کوچکی از متن شبیه برشهای کیک که مدل میخورد — تخمین هزینه و امتیاز اطمینان.
این رویکرد این فرض قدیمی را میشکند که عاملهای AI برای مفید بودن باید دسترسی نامحدود به سیستم داشته باشند. با جداسازی «تصمیمگیری» (Gemini) از «اجرا» (کدهای قطعی)، ایمنی سیستم بدون کاهش سرعت رابطهای زبان طبیعی تأمین شده است. برای کاربر عملیاتی، این بدان معناست که هوش مصنوعی بهجای یک اپراتور جعبهسیاه، مانند یک مترجم سریع عمل میکند؛ تحلیلگر همچنان خلبان است و عامل تنها سینتکس و فیلتراسیون اولیه دادهها را مدیریت میکند.
گام بعدی شما
- بررسی ساختار لاگهای (Schema) سازمان خود برای ایجاد فهرستهای مجاز (Allow-lists).
- آزمایش ابزارهای تولید داده مصنوعی برای تست عاملها پیش از استقرار در محیط Production.
- مطالعهی مستندات KQL برای نظارت بر کیفیت خروجیهای Gemini.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.
گفتگو