FORGE：网络安全威胁检测的“AlphaEvolve时刻”

2025年8月7日
作者：David Schiff & Gal Abadi

在网络威胁防御领域，持续进化防御手段并拦截新型不可预测威胁至关重要。自成立以来，SentinelOne始终将AI作为检测和自主响应新型恶意软件及TTP（战术、技术和程序）的核心手段，由此革新了现代终端防护的标准。

这不仅是我们理念的核心，更是架构设计的根本原则。正是通过这种方式，我们帮助客户在防御国家级黑客组织、持续变异的勒索软件以及犯罪地下产业降低攻击门槛时获得速度与创新的双重优势。简言之，这就是我们预先拦截现代攻击的方式。

通过新推出的优化规则生成与评估框架（FORGE），SentinelOne正在此基础上进一步突破——利用AI代理和大型语言模型（LLMs）的力量，彻底重构并加速团队创建自适应检测规则的过程。

网络空间的“AlphaEvolve时刻”

近期Google DeepMind发布的AlphaEvolve是一种能自主进化并优化算法的AI代理。当AlphaEvolve探索算法进化在计算领域的未来时，SentinelOne的FORGE¹为网络安全提供了高度相似的解决方案——一个可操作化的威胁检测增强系统。与AlphaEvolve类似，FORGE将AI和LLMs的创造性问题解决能力与严格评估流程相结合，快速生成高效、精准且自适应的检测规则。

传统检测引擎和基于AI的模型虽能提供全面覆盖并有效识别常见攻击模式，但模型更新和部署过程缓慢复杂，而攻击者的手法却在实时进化。检测规则能帮助团队及时填补新兴检测缺口并微调覆盖范围，但规则编写和维护耗时费力，即使专家也需反复测试以避免误报或盲区。FORGE通过自动生成高质量规则候选方案，显著减少人工投入并强化检测体系。

与规则易受复杂规避技术影响的传统方法不同，FORGE采用多样化AI提示动态生成多个规则候选，再经过严格的多层评估，确保只有最高质量的规则能进入部署阶段。类似AlphaEvolve通过自动化评估迭代优化算法，FORGE持续学习并改进检测逻辑。当规则未达到严格的精确率和召回率标准时，系统自动整合反馈以指导AI驱动的规则修订，形成快速适应新兴威胁的迭代优化闭环。

案例：利用原生OS功能执行恶意代码

图1展示了恶意软件通过Windows内置工具实现持久化的典型方式：

攻击者使用计划任务程序（schtasks.exe）创建名为"Skype"的任务，设置为每30分钟运行一次
该任务配置为执行用户临时文件夹中的1.js JavaScript文件
任务运行时启动Windows脚本宿主（wscript.exe）执行.js文件
最终导致1.js脚本在系统中反复执行

此技术危险性在于完全使用合法Windows组件，通过命名伪装（如"Skype"）和临时目录存放脚本实现隐蔽驻留。

FORGE如何检测恶意活动

图2演示了FORGE生成和优化检测规则的过程：

初始规则：标记所有引用Temp文件夹的schtasks.exe命令行，捕获257个真实案例但精确率仅65%
第一次迭代：增加"Skype"父命令行条件，虽实现100%精确率但仅捕获2例
最终规则：检测针对Temp文件夹.js文件的计划任务创建行为，且父进程为wscript.exe，实现99%精确率并覆盖全部257个真实案例

此案例展示了FORGE如何通过迭代调优在威胁检测系统中平衡泛化性与特异性。值得注意的是，FORGE并非替代分析师，而是消除规则生成中的重复劳动，让专家能专注于深度威胁分析和主动防御策略。

FORGE为AI驱动的网络安全树立了新标准，使我们能够以敏捷、精准的姿态持续领先攻击者。

¹ 专利 pending
第三方商标声明：本文提及的所有第三方产品名称、徽标及品牌均属其各自所有者所有，仅用于识别目的。使用这些名称、徽标及品牌不暗示与第三方存在关联、认可或赞助关系。