AIPress.com.cn报道

在2026年RSA网络安全大会（RSAC 2026）上，Google宣布其Gemini模型已被用于暗网威胁情报系统，通过AI代理自动扫描和分析暗网内容，以帮助企业识别潜在网络攻击。

该功能目前已在Google Threat Intelligence平台中开放公开预览。系统利用Gemini模型为企业建立组织画像，并在暗网论坛、地下市场等渠道中持续搜索相关信息，从而识别可能影响企业的安全威胁。

Google威胁情报团队表示，该系统每天可分析800万至1000万条外部事件，并从中筛选出与特定组织相关的少量高价值威胁信息。公司内部测试显示，该系统对威胁事件的分析准确率可达到约98%。

传统暗网监测工具通常依赖关键词抓取或正则表达式匹配，误报率较高。据Google介绍，这类系统产生的误报比例通常在80%至90%之间，使安全团队需要花费大量时间筛选无效信息。Gemini系统则通过理解语义和上下文来判断威胁相关性，从而减少噪音。

在使用流程上，企业客户首次启用暗网监测模块时，需要确认自身组织信息。Gemini随后会在数分钟内生成一份企业画像，其中包括企业品牌、技术环境、业务结构以及关键人物等公开信息，并附带引用来源，以提高AI分析的透明度。

系统随后会自动回溯过去七天的暗网数据，生成初步威胁警报。Gemini通过对暗网帖子进行向量化比对和语义分析，判断是否存在数据泄露、初始访问代理（Initial Access Brokers）交易、内部威胁或其他潜在攻击活动。

例如，如果暗网上出现出售某大型北美银行访问权限的帖子，Gemini会将该信息与客户组织画像进行关联分析。如果帖子中描述的员工规模、资产规模等特征与客户高度匹配，系统会将其识别为高严重级别威胁并优先提醒安全团队。

该系统还结合Google Threat Intelligence Group的人工情报数据库。该团队目前追踪全球627个网络攻击组织，相关背景信息将作为Gemini分析威胁时的上下文参考。

除了暗网情报功能，Google还在其Google Security Operations平台中推出AI安全代理（AI agents）预览版。这些代理可以自动执行安全事件分诊、调查和证据收集，并在分析完成后给出威胁判断及推理过程。

企业用户还可以利用远程模型上下文协议（MCP）服务器支持，在平台上构建自定义安全代理，并统一进行权限控制和治理。（AI普瑞斯编译）