بحث KENSAI: يوضح MARS² و H-TechniqueRAG مسار الترقية الحقيقي لأمن الوكلاء
خلاصة بحث اليوم بسيطة: إذا كانت أنظمة أمن الوكلاء تفشل تحت الضغط، فالمشكلة ليست غياب غلاف آخر. ما ينقص هو بحث أفضل عبر الفروع، وإسناد أفضل للفضل عبر المسارات الطويلة للأدوات، واسترجاع يفهم الأدلة السيبرانية بدل الاكتفاء بتشابه النصوص العام.
ما الذي تغيّر في نافذة البحث اليوم
أفضل أوراق اليوم لم تكن ضجيجاً عاماً عن الذكاء الاصطناعي. أهمية MARS² أنه يتعامل مع البحث متعدد الوكلاء على أنه شجرة حقيقية تتطلب استكشافاً صريحاً للفروع وإسناداً للفضل على مستوى المسار. وأهمية H-TechniqueRAG أنه يوضح كيف ينهار الاسترجاع السيبراني عندما تُسطَّح الأدلة إلى كتل نصية وتُرتَّب كما لو كانت نصاً عادياً.
هذا الثنائي يشير إلى اتجاه منتج عملي لـ KENSAI. أمن الوكلاء يحتاج إلى ترقيتين معاً: بحث أفضل عبر مسارات الفعل المحتملة، واسترجاع أفضل فوق أدلة أمنية مهيكلة. من دون هذين الأمرين تبدو الأنظمة نشطة لكنها تبقى سطحية.
1) MARS² هو الجواب الأفضل لمسارات الأدوات الطويلة
تكمن قوة MARS² في أنه يتوقف عن افتراض أن وكيلاً واحداً يجب أن يكتشف كل مسار جيد بمفرده. فهو يعامل حل المشكلة كبحث شجري مشترك، حيث يستكشف عدة وكلاء بدائل مختلفة، وتُوزَّع المكافأة على طول المسار الحقيقي الذي أنتج نتيجة مفيدة.
وهذا مهم في العمل الأمني لأن أفضل خطوة لا تظهر غالباً إلا بعد عدة خطوات متوسطة. الاستطلاع والتحقق والاستغلال كلها تملك حالات متفرعة. إذا كان النظام يكافئ المخرج النهائي فقط ويتجاهل المسار، فإنه يتعلم الدرس الخطأ. إسناد الفضل على مستوى المسار هو ما يمنع تدريب وكيل يستخدم الأدوات على أن يكون محظوظاً مرة واحدة بدلاً من أن يتحسن بشكل متكرر.
2) H-TechniqueRAG يعالج مشكلة حقيقية في الاسترجاع السيبراني
H-TechniqueRAG مهم لأن الأدلة السيبرانية هرمية بطبيعتها. تقنيات ATT&CK والإجراءات وآثار المضيف وملاحظات الحملات وإرشادات الكشف لا تعيش كلها على مستوى مسطح واحد. وعندما تتجاهل أنظمة الاسترجاع هذه البنية، فإنها تعيد نصاً ذا صلة عامة بدلاً من سلسلة الأدلة التي يحتاجها المحلل فعلاً.
بالنسبة إلى KENSAI، فالدرس واضح: جودة الاسترجاع الأمني تعتمد على الحفاظ على العلاقة بين التقنية والهدف والدليل والإجراء. تحسين تقسيم النص وحده لا يكفي. يجب أن تفهم طبقة الاسترجاع أن الإجابة السيبرانية الجيدة تكون غالباً سلسلة مترابطة وليست فقرة واحدة معزولة.
3) الأثر المنتجّي المشترك أقوى من كل ورقة بمفردها
عند جمع هاتين الورقتين معاً يظهر مسار ترقية حقيقي لأنظمة أمن الوكلاء. يجب أن يتفرع البحث بصدق أكبر عبر مسارات الأدوات الممكنة. ويجب أن تُسنَد المكافأة إلى المسارات لا إلى المخرجات النهائية فقط. ويجب أن يسترجع النظام الأدلة ضمن بنية هرمية واعية بالسياق السيبراني بدلاً من تسطيح كل شيء إلى ضباب دلالي.
هذه خارطة طريق أفضل بكثير من إضافة غلاف وكيل آخر أو طبقة لوحة جديدة. تصبح KENSAI أقوى عندما تستطيع استكشاف أكثر من مسار معقول، وتتعلم أي المسارات أنتجت عائداً حقيقياً، وتسترجع الأدلة بصيغة تدعم حكماً أمنياً فعلياً.
ما الذي ينبغي أن تفعله KENSAI بعد ذلك
الخطوة التالية عملية. يجب بناء تقييم واحد يختبر المكافأة على مستوى المسار واستكشاف الفروع في مهمة أدوات حية، وبناء تقييم استرجاع واحد يقيس دقة الأدلة على نمط ATT&CK بدلاً من الاكتفاء بطلاقة الإجابة العامة.
إذا تحسنت هاتان الحلقتان، فستصبح بقية المنظومة أقل مسرحية بسرعة. البحث الأفضل يعني تشغيلات أقل هشاشة للوكلاء. والاسترجاع الأفضل يعني إجابات أقل تبدو مقنعة لكنها خاطئة. هذا هو نوع دمج البحث الذي يغيّر سلوك المنتج، لا الشرائح فقط.
- يجب أن يكون استكشاف الفروع صريحاً عندما تتباعد جودة مسارات الأدوات.
- يجب أن ترتبط المكافأة بالمسارات لا بالمخرج النهائي فقط.
- يجب أن يحافظ الاسترجاع السيبراني على هرمية الأدلة بدلاً من تسطيحها.
ابنِ أنظمة أمن وكلاء تتعلم أثناء المسار لا عند النهاية فقط
تحول KENSAI إشارات البحث إلى تنفيذ أمني عملي، من استرجاع أفضل وأوركسترا أقوى إلى أسطح تشغيل proof-first.
اكتشف KENSAIKENSAI — AI-Powered Security Intelligence