Преминаване към основното съдържание
OpenAI

28 октомври 2025 г.

Защитната система с ИИ на Doppel спира атаките още в зародиш

С GPT‑5 и фино настройване с утвърждение (RFT) Doppel намали натоварването на анализаторите с 80% и вече неутрализира заплахи за минути вместо за часове.

Логото на Doppel в бяло, центрирано върху релефен, тъмен, метален фон с извити линии и нитове.
Размер на дружеството: Стартъп
Регион: Северна Америка
Промишленост: Технология
Продукти: API (приложно-програмен интерфейс)

Резултати

80%

намалени работни процеси за анализатори

Резултати

3x

капацитет за обработка на заплахи

Зареждане…

Един-единствен сайт за присвояване на самоличност може да бъде създаден, да насочи атаки към хиляди потребители и да изчезне за по-малко от час. Това е повече от достатъчно време, за да може нападателят да нанесе реални щети. А с генеративни инструменти, нападателите могат бързо да създадат още стотици подобни.

Doppel бе създадена, за да защитава организациите от дийпфейкове и онлайн присвояване на самоличност, но бързо осъзна, че изкуственият интелект позволява заплахите да се разрастват безкрайно. Нападателите вече не трябва ръчно да изработват измами; те могат да генерират безкрайни варианти на фишинг комплекти, фалшиви домейни и акаунти за имитация за секунди.

„Щетите от фишинг атаки може да настъпят в рамките на минути, тъй като атаките се разпространяват чрез социалните мрежи и каналите за съобщения. Умението да се генерира безкрайно убеждаване почти без разходи промени всичко.“
— Рахул Мадулури, съосновател и главен технологичен директор, Doppel

Поглед бърху внедряването

За да запази преднината си, Doppel разработи нов вид система за защита срещу социално инженерство, базирана на моделите OpenAI GPT‑5 и o4-mini. Платформата на Doppel автономно открива, класифицира и неутрализира заплахи, като намалява натоварването на анализаторите с 80%, утроява капацитета за обработка на заплахи и съкращава времето за реакция от часове до минути.

В крак с безкрайно по-бързите заплахи

Традиционната защита срещу цифрови рискове разчиташе на хора, които ръчно да преглеждат сайтове за присвояване на самоличност, фишинг домейни и профили и публикации в социалните мрежи. Doppel видя как този модел започва да се разпада, когато нападателите започнаха да автоматизират действията си, като пускаха заплахи по-бързо и в по-широк обхват на атакуваните повърхности, отколкото хората можеха да ги оценят.

„Системата ни обработва постоянен поток от сигнали, за да отдели реалните заплахи от шума. След като бъде засечена заплаха, има много кратък период за реагиране, преди да бъдат нанесени щетите. Използването на ИИ за автоматизиране на вземането на решения е един от най-големите пробиви за компанията, който ни позволява да се борим с атаки с мащаба и скоростта на интернет.“
— Рахул Мадулури, съосновател и главен технологичен директор, Doppel

Тази скорост е от решаващо значение за клиентите на Doppel — организации, които не могат да си позволят да чакат с часове, за да потвърдят заплаха. Системата на Doppel класифицира повечето заплахи автоматично, като използва моделите на OpenAI за структурирано анализиране и структуриран цикъл на обратна връзка, известен като фино настройване с утвърждение (RFT), за да подобрява модела с течение на времето. При финото настройване с утвърждение човешката обратна връзка служи като степенувани примери, което помага на моделите да правят последователни и обясними решения сами.

Координиране на откриване на заплахи, управлявано от големи езикови модели

Процесът на Doppel, управляван от големи езикови модели, е в центъра на нейния стек за откриване. След като сигналите бъдат събрани и филтрирани, системата изпълнява серия от целенасочени задачи за структурирано анализиране: анализира потенциални заплахи, потвърждава намерението и насочва решенията за класификация. Всеки етап е създаден така, че да балансира бързината, точността и последователността, като същевременно оставя анализаторите фокусирани върху крайните случаи, които изискват човешка преценка.

Диаграма на потока показва процес за откриване на заплахи с помощта на големи езикови модели, който преминава от събиране и филтриране, през извличане на характеристики и класификация, до системи за окончателна проверка и премахване. Модели като GPT-5 и o4-mini се използват на ключови етапи.

Ето как работи това:

  • Филтриране на сигнали и извличане на характеристики: Системите на Doppel обработват милиони домейни, URL адреси и акаунти ежедневно. Комбинация от евристики и OpenAI o4-mini филтрира шума и извлича структурирани характеристики за насочване на последващите оценки на модела.
  • Паралелно потвърждаване на заплахи: Всеки сигнал се обработва чрез няколко подкани за GPT‑5, специално създадени за различни видове анализ на заплахи. Тези подкани оценяват фактори като риск от самозванство, неправомерна употреба на марка или модели на социално инженерство.
  • Класификация на заплахата: RFT версията на o4-mini синтезира по-ранните потвърждения, за да присвои структуриран етикет – злонамерен, безвреден или нееднозначен – с последователност на производствено ниво.
  • Окончателна проверка: Втора проверка с GPT‑5 валидира решението на модела и генерира обосновка на естествен език. Ако увереността надвиши прага, системата автоматично задейства предприемане на мерки.
  • Човешки преглед: Резултати с ниска степен на увереност или противоречиви резултати се насочват към човешки анализатори. Техните решения се регистрират и връщат обратно в цикъла на RFT, за да се подобрява последователността на модела.

Обучаване на модели чрез фино настройване с утвърждение (RFT)

Doppel вече беше постигнала съществени подобрения с първоначалния си процес на откриване, подобрен с големи езикови модели, но когато ставаше въпрос за случаи, в които една и съща заплаха можеше да бъде преценена различно в зависимост от анализатора, последователността се превърна в ограничаващия фактор.

„Едно истинско предимство, което произтича от RFT, е, че правите решенията на модела по-последователни.“
—Киран Аримили, Софтуерен инженер, Doppel

За да постигне тази последователност, Doppel приложи RFT, използвайки собствените си данни от анализатори като източник на обратна връзка. Всяко решение за класифициране на даден домейн като злонамерен, доброкачествен или неясен се превръщаше в пример с количествена оценка. Тези обозначени примери обучиха модела да възпроизвежда експертната преценка дори при двусмислени гранични случаи.

Кръгова диаграма показва работния процес за класификация на заплахите на Doppel: LLM моделите в производствена среда вземат решения → човешките проверяващи предоставят корекции → обучението на модела актуализира моделите → внедряването изпраща актуализираните модели в производствена среда.

В тясно сътрудничество с екипа по приложно инженерство на OpenAI Doppel разработи функции за оценяване, които оценяваха не само точността, но и качеството на обясненията, като възнаграждаваха модели, които разсъждаваха ясно, а не просто правилно. Като превърна обратната връзка от анализаторите в структурирани данни за обучение, Doppel демонстрира как RFT може да направи автоматизираното откриване по-последователно и надеждно.

Превръщане на доверието в работещ модел чрез прозрачност

Настройването на хиперпараметрите и итеративните оценки доближиха модела до последователност на човешко ниво. Но за Doppel завършването на последната стъпка в автоматизацията означаваше и решенията да бъдат незабавно разбираеми.

Всяко автоматизирано премахване вече включва генерирана от ИИ обосновка, която обяснява защо дадена заплаха е премахната, давайки на клиентите незабавна яснота защо е предприето действието – нещо, което преди изискваше намесата на анализатор.

Изглед на информационен панел, показващ сигнал за сваляне за домейна „d0ppel.click“, отбелязан за присвояване на самоличността на Doppel. Резюмето цитира фишинг и кражба на идентификационни данни, като вдясно е показана времева линия с актуализации на състоянието от създаването до разрешаването на 10.10.2025 г.

Тази видимост повишава доверието, което е ключов фактор за потребителите на Doppel. Възможността да се вижда не само действието, но и неговата причина, дава на екипите увереност да реагират бързо и предлага контекст за обяснение на решенията – вътрешно или към заинтересовани страни.

Резултати с един поглед

  • Намалете работното натоварване на анализаторите с 80%
  • Съкратихме времето за реакция при заплахи от часове до минути
  • Утроен капацитет за управление на заплахи
  • Повечето заплахи са класифицирани автоматично

Какво следва

След като постигна почти пълна автоматизация за домейни за фишинг и имитация, Doppel сега прилага същата рамка, базирана на модели, към други канали с висока променливост.

„Домейните вероятно са най-трудният канал, с който работим“, казва Мадулури. „Сигналите са хаотични, съдържанието се променя непрекъснато, а заплахите се развиват бързо в няколко повърхности едновременно. Ако можем да автоматизираме това от край до край, можем да го направим за всичко: социални медии, платени реклами, каквото се сетите.“

Следващите етапи включват разширяване на набора от данни за RFT с един порядък, експериментиране с нови стратегии за оценяване и използване на GPT‑5 за извличане на характеристики на по-ранен етап. Тези промени ще позволят на Doppel да обедини етапите на процеса и да анализира по-сложни индикатори за заплахи на по-ранен етап.

С всяка итерация Doppel се приближава към система, която защитава истината навсякъде, където доверието е под атака.