پرش به محتوای اصلی
OpenAI

۶ آبان ۱۴۰۴

سامانه دفاعی هوش مصنوعی Doppel حملات را پیش از گسترش متوقف می‌کند

با GPT‑5 و بهبود تقویتی (RFT)، Doppel حجم کار تحلیلگران را 80% کاهش داد و اکنون به‌جای ساعت‌ها، تهدیدها را در عرض چند دقیقه مهار می‌کند.

لوگوی Doppel به رنگ سفید در مرکز یک پس‌زمینه فلزیِ تیره و بافت‌دار با خطوط منحنی و پرچ‌ها قرار دارد.
اندازه شرکت: استارتاپ
منطقه: آمریکای شمالی
صنعت: فناوری
محصولات: API

نتایج

80%

کاهش بار کاری تحلیلگران

نتایج

3x

ظرفیت مدیریت تهدید

در حال بارگذاری…

یک سایت جعل هویت می‌تواند راه‌اندازی شود، هزاران کاربر را هدف قرار دهد و در کمتر از یک ساعت ناپدید شود. این زمان بیش از حد کافی است تا یک مهاجم آسیب واقعی وارد کند. و با ابزارهای مولد، می‌توانند به‌سرعت صدها مورد دیگر مشابه آن ایجاد کنند.

Doppel برای محافظت از سازمان‌ها در برابر دیپ‌فیک و جعل هویت آنلاین ساخته شد، اما خیلی زود دریافت که هوش مصنوعی باعث می‌شود تهدیدها به طور نامحدود مقیاس بگیرند. مهاجمان دیگر نیازی نداشتند کلاهبرداری‌ها را به‌صورت دستی طراحی کنند؛ آن‌ها می‌توانستند در عرض چند ثانیه، بی‌شمار گونه از کیت‌های فیشینگ، دامنه‌های جعلی و حساب‌های جعل هویت تولید کنند.

«خسارات ناشی از حملات فیشینگ می‌تواند ظرف چند دقیقه رخ دهد، زیرا این حملات از طریق شبکه‌های اجتماعی و کانال‌های پیام‌رسان گسترش می‌یابند.» توانایی ایجاد اقناع بی‌پایان با تقریباً هیچ هزینه‌ای همه‌چیز را تغییر داد.»
—Rahul Madduluri، هم‌بنیان‌گذار و CTO، Doppel

در فرآیند راه‌اندازی

برای پیشتاز ماندن، Doppel نوع جدیدی از سیستم دفاعی مهندسی اجتماعی را توسعه داد که بر پایه مدل‌های OpenAI GPT‑5 و o4-mini ساخته شده است. پلتفرم Doppel تهدیدها را به صورت خودکار شناسایی، دسته‌بندی و حذف می‌کند، بار کاری تحلیلگران را 80% کاهش می‌دهد، ظرفیت رسیدگی به تهدیدها را سه برابر می‌کند و زمان پاسخ را از ساعت‌ها به چند دقیقه کاهش می‌دهد.

پیشتاز ماندن در برابر تهدیدهایی که پیوسته سریع‌تر می‌شوند

روش‌های سنتی حفاظت از ریسک دیجیتال به انسان‌ها متکی بود تا سایت‌های جعل هویت، دامنه‌های فیشینگ و پروفایل‌ها و پست‌های شبکه‌های اجتماعی را به‌صورت دستی بررسی کنند. Doppel مشاهده کرد که این مدل در حال فروپاشی است، زیرا مهاجمان شروع به خودکارسازی، راه‌اندازی سریع‌تر تهدیدها و گسترش آن‌ها در سطوح بیشتری کردند—بیش از آنچه انسان‌ها بتوانند ارزیابی کنند.

سامانهٔ ما سیلابی پیوسته از سیگنال‌ها را پردازش می‌کند تا تهدیدهای واقعی را در میان نوفه شناسایی کند. به محض شناسایی یک تهدید، بازه زمانی بسیار محدودی برای اقدام وجود دارد، پیش از آنکه خسارت وارد شود. به‌کارگیری هوش مصنوعی برای خودکارسازی تصمیم‌گیری، یکی از بزرگ‌ترین گشایش‌ها برای شرکت است و به ما امکان می‌دهد در مقیاس اینترنت و با سرعت آن با حملات مقابله کنیم.
—Rahul Madduluri، هم‌بنیان‌گذار و CTO، Doppel

این سرعت برای مشتریان Doppel حیاتی است؛ سازمان‌هایی که نمی‌توانند برای تأیید یک تهدید ساعت‌ها منتظر بمانند. سیستم Doppel بیشتر تهدیدها را به صورت خودکار دسته‌بندی می‌کند، با استفاده از مدل‌های OpenAI برای استدلال و یک حلقه بازخورد ساختاریافته به نام بهبود تقویتی (RFT) برای بهبود مدل در طول زمان. در بهبود تقویتی (RFT)، از بازخورد انسانی به عنوان مثال‌های درجه‌بندی‌شده استفاده می‌شود و این به مدل‌ها کمک می‌کند یاد بگیرند به طور مستقل تصمیم‌هایی سازگار و قابل توضیح بگیرند.

هماهنگ‌سازی شناسایی تهدید مبتنی بر الگوهای زبانی بزرگ (LLM)

خط لوله مبتنی بر الگوهای زبانی بزرگ (LLM) Doppel در مرکز پشته تشخیص آن قرار دارد. پس از جمع‌آوری و پالایش سیگنال‌ها، سیستم مجموعه‌ای از وظایف استدلالی هدفمند را انجام می‌دهد: بررسی تهدیدهای بالقوه، تأیید قصد، و هدایت تصمیم‌های دسته‌بندی. هر مرحله به گونه‌ای طراحی شده است که بین سرعت، دقت و انسجام تعادل برقرار کند، و در عین حال تحلیلگران را بر موارد مرزی‌ای متمرکز نگه می‌دارد که به قضاوت انسانی نیاز دارند.

یک فلوچارت، خط لوله‌ای برای تشخیص تهدید با استفاده از LLMها را نشان می‌دهد که از گردآوری و پالایش آغاز شده، از استخراج ویژگی و طبقه‌بندی عبور می‌کند و به راستی‌آزمایی نهایی و سامانه‌های حذف می‌رسد. مدل‌هایی مانند GPT-5 و o4-mini در مراحل کلیدی استفاده می‌شوند.

نحوه کارکرد آن:

  • فیلتر کردن سیگنال‌ها و استخراج ویژگی‌ها: سیستم‌های Doppel روزانه میلیون‌ها دامنه، URL و حساب کاربری را دریافت می‌کنند. ترکیبی از روش‌های ابتکاری و OpenAI o4-mini نویز را فیلتر کرده و ویژگی‌های ساختاریافته‌ای استخراج می‌کند که ارزیابی‌های بعدی مدل را هدایت می‌کنند.
  • تأیید موازی تهدید: هر سیگنال از طریق چندین پرامپت GPT‑5 که برای انواع مختلف تحلیل تهدید طراحی شده‌اند، پردازش می‌شود. این اعلان‌ها عواملی مانند ریسک جعل هویت، سوءاستفاده از برند یا الگوهای مهندسی اجتماعی را ارزیابی می‌کنند.
  • طبقه‌بندی تهدید: نسخه بهبود تقویتی (RFT) از o4-mini این تأییدهای اولیه را ترکیب کرده و یک برچسب ساختاریافته—مخرب، بی‌خطر یا مبهم—با ثبات در سطح تولید اختصاص می‌دهد.
  • تأیید نهایی: یک گذر دوم GPT‑5 تصمیم مدل را اعتبارسنجی کرده و یک توضیح به زبان طبیعی تولید می‌کند. اگر اطمینان از آستانه فراتر رود، سیستم به‌صورت خودکار فرایند اعمال را آغاز می‌کند.
  • بازبینی انسانی: نتایج کم‌اطمینان یا متناقض به تحلیلگران انسانی ارجاع داده می‌شوند. تصمیم‌های آن‌ها ثبت شده و به حلقه RFT بازگردانده می‌شود تا سازگاری مدل به طور مداوم بهبود یابد.

آموزش مدل‌ها از طریق بهبود تقویتی بهبود تقویتی (RFT)

Doppel پیش‌تر از تشخیص مسیر اولیه خود که با الگوهای زبانی بزرگ (LLM) تقویت شده بود، پیشرفت‌های چشمگیری دیده بود، اما وقتی نوبت به مواردی می‌رسید که ممکن بود یک تهدید یکسان بسته به تحلیل‌گر به گونه‌ای متفاوت ارزیابی شود، ثبات به عامل محدودکننده تبدیل می‌شد.

«یکی از مزیت‌های کلیدی RFT این است که تصمیم‌های مدل را سازگارتر می‌کند.»
—Kiran Arimilli، مهندس نرم‌افزار، Doppel

برای ایجاد این سازگاری، Doppel از داده‌های تحلیلگران خود به عنوان منبع بازخورد در RFT استفاده کرد. هر تصمیم برای طبقه‌بندی یک دامنه به عنوان مخرب، خوش‌خیم یا نامشخص، به یک نمونهٔ درجه‌بندی‌شده تبدیل شد. آن نمونه‌های برچسب‌گذاری‌شده مدل را آموزش دادند تا حتی در موارد مرزی مبهم نیز قضاوت کارشناسانه را بازتولید نماید.

یک نمودار دایره‌ای، جریان کاری دسته‌بندی تهدید در Doppel را نشان می‌دهد: مدل‌های زبانی بزرگ تصمیم‌گیری می‌کنند → بازبین‌های انسانی اصلاحات را اعمال می‌کنند → آموزش مدل‌ها به‌روزرسانی می‌شود → استقرار، مدل‌های به‌روزشده را به محیط تولید ارسال می‌کند.

Doppel با همکاری نزدیک با تیم مهندسی کاربردی OpenAI، توابع ارزیابی‌ای طراحی کرد که نه‌تنها دقت، بلکه کیفیت توضیح را نیز می‌سنجند و به مدل‌هایی که استدلال واضح‌تری دارند پاداش می‌دهند. Doppel با تبدیل بازخورد تحلیل‌گران به داده‌های آموزشی ساختاریافته، کمک کرد نشان دهد که بهبود تقویتی (RFT) چگونه می‌تواند تشخیص خودکار را سازگارتر و قابل‌اعتمادتر کند.

عملیاتی‌سازی اعتماد از طریق شفافیت

تنظیم ابرپارامترها و ارزیابی‌های تکرارشونده، مدل را به ثباتی نزدیک به سطح انسان رساندند. اما برای Doppel، تکمیل آخرین گام اتوماسیون همچنین به این معنا بود که تصمیم‌ها بلافاصله قابل‌فهم شوند.

اکنون هر حذف خودکار شامل یک توضیح تولیدشده توسط هوش مصنوعی است که دلیل حذف تهدید را روشن می‌کند و به مشتریان فوراً نشان می‌دهد چرا این اقدام انجام شده است—چیزی که پیش‌تر به مداخله تحلیلگر نیاز داشت.

نمای داشبوردی که یک هشدار حذف برای دامنه «d0ppel.click» را نشان می‌دهد، به دلیل جعل هویت Doppel علامت‌گذاری شد. خلاصه به فیشینگ و سرقت اعتبارنامه‌ها اشاره می‌کند و در سمت راست، خط زمانی‌ای را نشان می‌دهد که به‌روزرسانی‌های وضعیت را از زمان ایجاد تا حل‌وفصل در 10 اکتبر 2025 نمایش می‌دهد.

این شفافیت اعتماد را تقویت می‌کند، که برای کاربران Doppel عاملی حیاتی است. اینکه فقط چه اقدامی انجام شده را نبینند، بلکه دلیل آن را هم بدانند، به تیم‌ها این اطمینان را می‌دهد که سریع واکنش نشان دهند و زمینه لازم برای توضیح آن تصمیم‌ها در داخل سازمان یا برای ذی‌نفعان را داشته باشند.

نتایج به‌صورت خلاصه

  • بار کاری تحلیلگران را 80% کاهش دهید
  • زمان پاسخ به تهدید از ساعت‌ها به چند دقیقه کاهش یافت
  • سه‌برابر شدن ظرفیت رسیدگی به تهدیدها
  • بیشتر تهدیدها به صورت خودکار طبقه‌بندی‌شده‌اند

بعد چه می‌شود؟

پس از دستیابی به تقریباً اتوماسیون کامل در حوزه فیشینگ و دامنه‌های جعل هویت، Doppel اکنون همان چارچوب مبتنی بر مدل را برای کانال‌های دیگر با تنوع بالا به‌کار می‌گیرد.

Madduluri گفت: «دامنه‌ها احتمالاً سخت‌ترین کانالی هستند که با آن سروکار داریم.» «سیگنال‌ها نامنظم‌اند، محتوا دائماً تغییر می‌کند و تهدیدها به سرعت در چندین سطح به طور هم‌زمان تکامل می‌یابند. اگر بتوانیم آن را از ابتدا تا انتها خودکار کنیم، می‌توانیم همین کار را برای هر چیزی انجام دهیم: شبکه‌های اجتماعی، تبلیغات پولی، هر چیزی که فکرش را بکنید.»

نقاط عطف بعدی شامل افزایش مقیاس داده‌های RFT، آزمایش راهبردهای جدید ارزیابی و استفاده از GPT‑5 برای استخراج ویژگی در مراحل اولیه است. این تغییرات به Doppel امکان می‌دهند مراحل خط لوله را یکپارچه کند و در مراحل اولیه فرایند درباره شاخص‌های تهدید پیچیده‌تر استدلال کند.

با هر تکرار، Doppel به سوی سامانه‌ای پیش می‌رود که از آنچه واقعی است در تمام سطوحی که اعتماد در معرض حمله است محافظت می‌کند.