Salta al contingut principal
OpenAI

28 d’octubre del 2025

El sistema de defensa amb IA de Doppel atura els atacs abans

Amb GPT‑5 i afinament per reforç (RFT), Doppel va reduir un 80% la càrrega dels analistes i ara mitiga amenaces en minuts en lloc d’hores.

Logotip de Doppel en blanc, centrat sobre un fons metàl·lic fosc texturat amb línies corbes i reblons.
Mida de l'empresa: Empresa emergent
Regió: Amèrica del Nord
Indústria: Tecnologia
Productes: API

Resultats

80%

fluxos de treball d’analistes reduïts

Resultats

3x

capacitat de gestió d’amenaces

S'està carregant…

Un sol lloc de suplantació pot aparèixer, apuntar a milers d’usuaris i desaparèixer en menys d’una hora. Això és més que suficient perquè un atacant causi danys reals. I amb eines generatives, en poden crear centenars més d’iguals.

Doppel es va crear per defensar les organitzacions dels deepfakes i de les suplantacions en línia, però aviat es va adonar que la IA significava que les amenaces podien escalar infinitament. Els atacants ja no havien d’elaborar estafes manualment; podien generar infinites variants de kits de phishing, dominis falsificats i comptes de suplantació en segons.

«Els danys dels atacs de phishing poden produir-se en qüestió de minuts mentre es propaguen per les xarxes socials i els canals de missatgeria. La capacitat de generar persuasió infinita a un cost gairebé nul ho va canviar tot.»
—Rahul Madduluri, cofundador i CTO, Doppel

Interior del desplegament

Per mantenir-se al davant, Doppel va desenvolupar un nou tipus de sistema de defensa contra l’enginyeria social basat en els models GPT‑5 i o4-mini d’OpenAI. La plataforma de Doppel detecta, classifica i elimina amenaces de manera autònoma, reduint un 80% la càrrega dels analistes, triplicant la capacitat de gestió d’amenaces i escurçant els temps de resposta d’hores a minuts.

Mantenir-se al davant d’amenaces infinitament més ràpides

La protecció tradicional contra el risc digital depenia d’humans per revisar manualment llocs de suplantació, dominis de phishing i perfils i publicacions de xarxes socials. Doppel va veure que aquest model es desfeia quan els atacants van començar a automatitzar-se, llançant amenaces més ràpidament i en més superfícies de les que els humans podien avaluar.

«El nostre sistema processa un flux constant de senyals per identificar les amenaces reals entre el soroll. Un cop es detecta una amenaça, hi ha una finestra molt estreta per actuar abans que el dany estigui fet. L’ús de la IA per automatitzar la presa de decisions és un dels grans factors de desbloqueig per a l’empresa, i ens permet combatre atacs a escala i velocitat d’internet.»
—Rahul Madduluri, cofundador i CTO, Doppel

Aquesta velocitat és fonamental per als clients de Doppel, organitzacions que no es poden permetre esperar hores per confirmar una amenaça. El sistema de Doppel classifica la majoria d’amenaces automàticament, utilitzant models d’OpenAI per al raonament i un bucle de retroalimentació estructurat conegut com a afinament per reforç (RFT) per millorar el model amb el temps. En l’RFT, la retroalimentació humana s’utilitza com a exemples qualificats, ajudant els models a aprendre a prendre decisions coherents i explicables per si mateixos.

Orquestració de la detecció d’amenaces impulsada per LLM

La pipeline impulsada per LLM de Doppel se situa al centre de la seva pila de detecció. Després d’obtenir i filtrar els senyals, el sistema fa una sèrie de tasques de raonament específiques: raonar sobre amenaces potencials, confirmar la intenció i impulsar decisions de classificació. Cada etapa està dissenyada per equilibrar velocitat, precisió i coherència, mentre manté els analistes centrats en els casos límit que necessiten judici humà.

Un diagrama de flux mostra una pipeline de detecció d’amenaces amb LLM, que va des de l’obtenció i el filtratge, passant per l’extracció de característiques i la classificació, fins a la verificació final i els sistemes de retirada. Models com GPT-5 i o4-mini s’utilitzen en etapes clau.

Així és com funciona:

  • Filtratge de senyals i extracció de característiques: Els sistemes de Doppel ingereixen milions de dominis, URL i comptes cada dia. Una combinació d’heurístiques i OpenAI o4-mini filtra el soroll i extreu característiques estructurades per guiar les avaluacions de models posteriors.
  • Confirmació paral·lela d’amenaces: Cada senyal passa per múltiples indicacions de GPT‑5 creades específicament per a diferents tipus d’anàlisi d’amenaces. Aquestes indicacions avaluen factors com el risc de suplantació, l’ús indegut de la marca o els patrons d’enginyeria social.
  • Classificació d’amenaces: La versió RFT d’o4-mini sintetitza les confirmacions anteriors per assignar una etiqueta estructurada —maliciosa, benigna o ambigua— amb una coherència de nivell de producció.
  • Verificació final: Una segona passada de GPT‑5 valida la decisió del model i genera una justificació en llenguatge natural. Si la confiança supera el llindar, el sistema inicia automàticament l’aplicació de mesures.
  • Revisió humana: Els resultats amb poca confiança o conflictius s’envien a analistes humans. Les seves decisions es registren i es reincorporen al bucle RFT per millorar contínuament la coherència del model.

Entrenament de models mitjançant afinament per reforç (RFT)

Doppel ja havia vist millores significatives amb la seva pipeline de detecció millorada amb LLM original, però quan es tractava de casos en què la mateixa amenaça podia ser jutjada de manera diferent segons l’analista, la coherència es va convertir en el factor limitant.

«Un benefici real que ha aportat l’RFT és que fas que les decisions del model siguin més consistents.»
—Kiran Arimilli, enginyer de programari, Doppel

Per construir aquesta coherència, Doppel va aplicar RFT utilitzant les seves pròpies dades d’analistes com a font de retroalimentació. Cada decisió de classificar un domini com a maliciós, benigne o poc clar es va convertir en un exemple qualificat. Aquests exemples etiquetats van entrenar el model per replicar el judici expert, fins i tot en casos límit ambigus.

Un diagrama circular mostra el flux de treball de classificació d’amenaces de Doppel: els LLM de producció prenen decisions → els revisors humans aporten correccions → l’entrenament del model actualitza els models → el desplegament envia els models actualitzats a producció.

Treballant estretament amb l’equip d’enginyeria aplicada d’OpenAI, Doppel va dissenyar funcions d’avaluació que mesuraven no només la precisió sinó també la qualitat explicativa, recompensant els models que raonaven amb claredat, no només correctament. En convertir la retroalimentació dels analistes en dades d’entrenament estructurades, Doppel va ajudar a demostrar com l’RFT podia fer que la detecció automatitzada fos més coherent i fiable.

Operativitzar la confiança mitjançant la transparència

L’ajust d’hiperparàmetres i les avaluacions iteratives van apropar el model a una coherència de nivell humà. Però per a Doppel, completar l’últim tram de l’automatització també significava fer que les decisions fossin comprensibles immediatament.

Cada retirada automatitzada inclou ara una justificació generada per IA que explica per què es va eliminar una amenaça, oferint als clients una visió immediata de per què es va prendre aquesta acció, cosa que abans requeria la intervenció d’un analista.

Una vista del tauler mostra una alerta de retirada per al domini «d0ppel.click», marcat per suplantar Doppel. El resum cita phishing i robatori de credencials, amb una cronologia a la dreta que mostra actualitzacions d’estat des de la creació fins a la resolució el 10 d’octubre de 2025.

Aquesta visibilitat reforça la confiança, que és un factor crític per als usuaris de Doppel. Veure no només quina acció s’ha dut a terme, sinó també per què, dona als equips la confiança per respondre ràpidament i el context per explicar internament aquestes decisions o als grups d’interès.

Resultats d’un cop d’ull

  • Reducció d’un 80% de la càrrega dels analistes
  • Reducció dels temps de resposta a amenaces d’hores a minuts
  • Capacitat de gestió d’amenaces triplicada
  • La majoria d’amenaces es classifiquen automàticament

Què ve ara

Després d’haver assolit una automatització gairebé completa per als dominis de phishing i suplantació, Doppel ara aplica el mateix marc impulsat per models a altres canals d’alta variabilitat.

«Els dominis són probablement el canal més difícil que gestionem», va dir Madduluri. «Els senyals són desordenats, el contingut canvia constantment i les amenaces evolucionen ràpidament en diverses superfícies alhora. Si podem automatitzar això d’extrem a extrem, ho podem fer per a qualsevol cosa: xarxes socials, anuncis de pagament, el que vulguis.»

Les fites següents inclouen escalar el seu conjunt de dades d’RFT en un ordre de magnitud, experimentar amb noves estratègies d’avaluació i utilitzar GPT‑5 per a l’extracció de característiques en fases inicials. Aquests canvis permetran a Doppel consolidar etapes de la pipeline i raonar sobre indicadors d’amenaça més complexos abans en el procés.

Amb cada iteració, Doppel avança cap a un sistema que defensa allò que és real a totes les superfícies on la confiança està sota atac.