终端安全运营的“奇点”：当 20 年的专家经验被“装”进 AI，联软 EDR 专属智能体来了

(摘要)：告别“人工巡检持久战”。这次，我们把联软专家的“大脑”和经验装进AI SOC平台，打造了一个 7×24 小时高效运行的 AI 队友——联软EDR专属智能体·嘲风。

做安全运营（SOC）的兄弟们，不管是甲方的还是乙方的，估计都有过这种 “既痛苦又幸福” 的时刻：

幸福的是，你上了 联软（UniEDR）。作为国内终端安全的领军者，联软的技术底蕴那是没得说——看得准、抓得牢、覆盖广，勒索银狐一抓一个准。

痛苦的是，告警是真的多，也是真的看不过来。

每天面对成百上千条告警，你得一条条查进程链、查哈希、查父子关系。这就好比你请了一位视力极好的神探，他极其负责地把所有线索都扔到了你桌上，但最后还得你自己去拼图、去抓人。

我们一直在想：能不能把联软最顶级的安全专家，直接“克隆”一个给你？

于是，联软科技 联手 雾帜智能，搞了一件打破行业天花板的事——发布“联软 EDR 专属智能体·嘲风”。

联合解决方案技术架构.PNG

这不是一次简单的 API 接口对接，这是 “顶级专家经验（联软）”与“顶级 AI 运营底座（雾帜智能AI SOC）” 的一次灵魂共振。

01 这个智能体，是有“灵魂”的（联软的独家秘笈）

市面上很多所谓的“AI 安全助手”，充其量是个外挂的聊天机器人。你问它“勒索病毒怎么杀”，它给你背诵百度百科。

但 “联软 EDR 专属智能体” 不一样，它是个 “练家子”。

它的“灵魂”里，刻着联软科技 20 年 在终端安全领域的深厚功力。我们把联软安全专家的实战经验、丰富的攻防知识库以及对桌面安全事件的处置逻辑，全部注入到一个独立的 RAG（检索增强生成）知识库中。

它到底强在哪？

它懂联软的“黑话”： 它天生理解什么是 process_chain（进程链），知道怎么用联软特有的 str_agent_id 把碎片化线索串起来。它不需要你解释数据结构，它一看日志就知道：“哦，这是典型的父进程异常。”

它有专家的“直觉”： 依靠专属 RAG 知识库，它能复刻联软专家的研判逻辑。当它看到一个 PowerShell 行为时，它不是通用大模型在“瞎猜”，而是基于联软 20 年沉淀的数据在“思考”。

智能体工作原理.PNG

换句话说，这不仅仅是一个 Agent，这是联软把最资深的那个专家，派到了你的屏幕里。

02 雾帜智能AI SOC：不仅仅是平台，更是“超级道场”

好马配好鞍，良将需良才。要让这样一位“AI 专家”跑起来，需要一个强大的底座。

这就是 雾帜智能（AI SOC） 的角色。

作为从 2019 年 就开始死磕 AI + SOAR（自动化响应） 的技术流公司，雾帜智能一直在探索怎么让安全运营自动化、智能化。

在全新的 雾帜智能AI SOC平台 上，通过 “虚拟团队” 技术，为联软打造了一个能够持续运行、灵活定制的专属空间：

开放与兼容： 雾帜智能AI SOC 就像一个开放的“超级道场”。今天，联软的专家智能体在这里大显身手；明天，防火墙、威胁情报等其他厂商的能力也能无缝接入。

深度定制： 在这个平台上，不仅能配置知识库，还能通过 MCP（Model Context Protocol） 绑定工具，甚至精细到设置每一个 Agent 的访问权限。

AI SOC后台MCP SERVER配置界面

这是一个三方共赢的全新局面： 雾帜提供了最先进的 AI 运营土壤，联软种下了最优质的专家经验种子，而客户，收获了 “自动化闭环” 的果实。

03 拒绝“纸上谈兵”：它是带着“枪”干活的

有了联软的“大脑”（RAG）和雾帜的“底座”（Platform），这个智能体还需要一双“手”。

通过 MCP Server 的深度构建，这个智能体不再是只会给建议的“嘴炮”，它是能直接下场干活的：

想查详情？ 它直接调用 query_threat_by_id，秒级拉取联软 EDR 的深层数据。

发现勒索？ 不需要你去控制台点点点，它能直接调用 block_single_file_md5 下发阻断策略，或者直接隔离主机。

MCP工具组合完成研判分析

来看一个真实的“秒杀”现场：

1.告警触发： 联软 EDR 发现一个可疑的 PowerShell 脚本正在下载未知文件。

2.AI 介入： 雾帜智能AI SOC 平台上的“联软专属智能体”瞬间被唤醒。

3.专家研判： 智能体结合 RAG 知识库，分析进程链，判定这是典型的横向移动尝试（ATT&CK T1021）。

4.可视化呈现： 哪怕你是新手，看到智能体自动画出的 “攻击时间线” 和 “资产关系图”，也能一秒看懂攻击路径。

5.自动闭环： 经人工确认（甚至全自动），智能体直接指挥联软 EDR 查杀进程、封锁 IP。

智能体梳理的可视化元素关系图

从发现到深度研判和最终处置，以前人工需要 90 分钟，现在 AI 只需要 5～10 分钟。

04 运营的“奇点”已至

安全圈有句话：“未知的威胁最可怕，但处理不过来的已知威胁最憋屈。”

联软科技与雾帜智能的这次合作，就是为了终结这种“憋屈”。

这是一次深度的创新：我们用 雾帜智能AI SOC 的开放底座，承载了 联软 UniEDR 的极致经验。这不仅是一个产品功能的更新，更是开启了 “基于AI虚拟SOC团队与专属智能体” 的安全运营新玩法。

想看看你的 EDR 是如何“长出大脑”、自动干活的吗？

想体验这种“专家经验+ AI 底座”的丝滑运营吗？