Overslaan naar hoofdinhoud
OpenAI

28 oktober 2025

Doppels AI-systeem stopt aanvallen voor ze zich verspreiden

Met GPT‑5 en reinforcement fine-tuning (RFT) heeft Doppel de werklast van analisten met 80% verminderd en worden dreigingen nu binnen enkele minuten in plaats van uren afgewend.

Doppel-logo in wit, gecentreerd op een donkere metallic achtergrond met structuur, gebogen lijnen en klinknagels.
Grootte van de onderneming: Start-up
Regio: Noord-Amerika
Sector: Technologie
Producten: API

Resultaten

80%

minder handmatig werk voor analisten

Resultaten

3x

capaciteit voor het afhandelen van dreigingen

Bezig met laden...

Eén phishingwebsite kan binnen een uur worden opgezet, duizenden gebruikers bereiken en daarna weer verdwijnen. Dat is meer dan genoeg tijd voor een aanvaller om echte schade aan te richten. En met generatieve tools kunnen ze er nog honderden meer maken.

Doppel werd ontwikkeld om organisaties te beschermen tegen deepfakes en online identiteitsfraude. Maar al snel werd duidelijk dat AI deze dreigingen oneindig kan escaleren. Aanvallers hoeven niet langer zelf scams te bedenken; ze kunnen binnen enkele seconden eindeloze varianten van phishingkits, vervalste domeinen en nepaccounts genereren.

"Schade door phishingaanvallen kan binnen enkele minuten ontstaan, omdat ze zich via sociale media en berichtenkanalen verspreiden. Dat je vrijwel kosteloos op grote schaal overtuigende berichten kunt genereren, heeft het speelveld ingrijpend veranderd."
—Rahul Madduluri, medeoprichter en CTO van Doppel

Binnen de uitrol

Om voorop te blijven lopen, heeft Doppel een nieuw soort beveiligingssysteem voor social engineering ontwikkeld dat is gebaseerd op OpenAI GPT‑5‑ en o4-mini-modellen. Het platform van Doppel detecteert, classificeert en verwijdert dreigingen autonoom, waardoor de werklast van analisten met 80% wordt verminderd, de capaciteit voor het afhandelen van dreigingen verdrievoudigd wordt en de responstijd van uren tot minuten wordt teruggebracht.

Steeds snellere dreigingen voorblijven

Traditionele digitale risicobescherming was afhankelijk van mensen die handmatig sites met identiteitsfraude, phishingdomeinen en socialemediaprofielen en -berichten controleerden. Doppel zag dat model ineenstorten toen aanvallers begonnen te automatiseren en dreigingen sneller en over meer aanvalsoppervlakken lanceerden dan mensen handmatig konden evalueren.

"Ons systeem verwerkt een constante stroom van signalen om de echte dreigingen te identificeren tussen alle ruis. Zodra een dreiging wordt gedetecteerd, is er maar heel weinig tijd om in te grijpen voordat de schade is aangericht. Het gebruik van AI om besluitvorming te automatiseren, is een van de grootste doorbraken voor het bedrijf. Hierdoor kunnen we aanvallen op internet op grote schaal en met hoge snelheid bestrijden."
—Rahul Madduluri, medeoprichter en CTO van Doppel

Die snelheid is van cruciaal belang voor de klanten van Doppel: organisaties die het zich niet kunnen veroorloven om uren te wachten op bevestiging van een dreiging. Het systeem van Doppel classificeert de meeste dreigingen automatisch, waarbij gebruik wordt gemaakt van OpenAI-modellen voor redenering en een gestructureerde feedbackloop die bekend staat als reinforcement fine-tuning (RFT) om het model in de loop van de tijd te verbeteren. In RFT wordt menselijke feedback gebruikt als beoordeelde voorbeelden, waardoor modellen leren om zelfstandig consistente, verklaarbare beslissingen te nemen.

Orkestratie van LLM-gestuurde dreigingsdetectie

De LLM-gestuurde pijplijn van Doppel vormt het hart van zijn detectiestack. Nadat signalen zijn verzameld en gefilterd, voert het systeem gerichte redeneerstappen uit: het beoordeelt potentiële dreigingen, stelt de intentie vast en bepaalt de juiste classificatie. Elke fase is ontworpen om snelheid, nauwkeurigheid en consistentie in balans te houden, terwijl analisten zich blijven richten op de randgevallen die menselijk oordeel vereisen.

Een stroomdiagram toont een pijplijn voor dreigingsdetectie met behulp van LLM's, van sourcing en filtering, via kenmerk-extractie en classificatie, tot uiteindelijke verificatie- en verwijderingssystemen. Modellen zoals GPT-5 en o4-mini worden gebruikt in belangrijke fasen.

Zo werkt het:

  • Signalen filteren en kenmerk-extractie: De systemen van Doppel verwerken dagelijks miljoenen domeinen, URL's en accounts. Een combinatie van heuristieken en OpenAI o4-mini filtert ruis weg en zet signalen om in gestructureerde kenmerken voor vervolgevaluaties door het model.
  • Parallelle dreigingsbevestiging: Elk signaal wordt door meerdere GPT‑5‑prompts geleid die speciaal zijn ontwikkeld voor verschillende soorten dreigingsanalyses. Deze prompts beoordelen factoren zoals het risico op identiteitsfraude, misbruik van merken of patronen van social engineering.
  • Dreigingsclassificatie: De RFT-versie van o4-mini combineert eerdere signalen tot een gestructureerd label: kwaadaardig, goedaardig of twijfelachtig, en levert consistente prestaties in productie.
  • Uiteindelijke verificatie: Een tweede check met GPT‑5 controleert de beslissing van het model en genereert een toelichting in natuurlijke taal. Als de zekerheid boven de drempel ligt, start het systeem automatisch met handhaving.
  • Menselijke beoordeling: Resultaten met een lage zekerheid of tegenstrijdige resultaten worden doorgestuurd naar menselijke analisten. Hun beslissingen worden geregistreerd en teruggekoppeld naar de RFT-lus om de consistentie van het model voortdurend te verbeteren.

Training van modellen door middel van reinforcement fine-tuning (RFT)

Doppel had al aanzienlijke winst geboekt met zijn oorspronkelijke door LLM's verbeterde detectiepijplijn. Maar toen dezelfde dreiging door verschillende analisten verschillend kon worden beoordeeld, werd consistentie een beperkende factor.

"Een merkbaar voordeel van RFT is dat je de beslissingen van dat model consistenter maakt."
—Kiran Arimilli, Software-ontwikkelaar bij Doppel

Om die consistentie te bereiken, paste Doppel RFT toe met behulp van zijn eigen analysegegevens als feedbackbron. Elke beslissing om een domein als kwaadaardig, goedaardig of onduidelijk te classificeren, werd een beoordeeld voorbeeld. Die gelabelde voorbeelden hebben het model getraind om het oordeel van experts te repliceren, zelfs in twijfelachtige randgevallen.

Een cirkeldiagram toont de workflow van de Doppel-dreigingsclassificatie: productie-LLM's nemen beslissingen → menselijke beoordelaars leveren correcties → modeltraining werkt modellen bij → implementatie stuurt bijgewerkte modellen naar productie.

In nauwe samenwerking met het toegepaste engineeringteam van OpenAI ontwierp Doppel beoordelingsfuncties die niet alleen de nauwkeurigheid, maar ook de verklarende kwaliteit evalueerden, waarbij modellen werden beloond die niet alleen correct, maar ook helder redeneerden. Door feedback van analisten om te zetten in gestructureerde trainingsdata, kon Doppel aantonen hoe RFT geautomatiseerde detectie consistenter en betrouwbaarder kan maken.

Vertrouwen operationaliseren door middel van transparantie

Door hyperparameter tuning en iteratieve evaluaties benaderde het model het menselijk niveau beter. Maar voor Doppel betekende het voltooien van de laatste fase van automatisering ook dat beslissingen onmiddellijk begrijpelijk moesten worden gemaakt.

Elke geautomatiseerde verwijdering bevat nu een door AI gegenereerde motivering waarin wordt uitgelegd waarom een dreiging is verwijderd. Hierdoor krijgen klanten direct inzicht in waarom er actie is ondernomen. Hiervoor was voorheen tussenkomst van een analist nodig.

Een dashboardweergave toont een verwijderingswaarschuwing voor het domein "d0ppel.click," Gemarkeerd omdat het zich voordeed als Doppel. De samenvatting vermeldt phishing en diefstal van inloggegevens, met een tijdlijn aan de rechterkant die statusupdates toont vanaf het moment van aanmaken tot de oplossing op 10-10-2025.

Die zichtbaarheid vergroot het vertrouwen, wat een cruciale factor is voor de gebruikers van Doppel. Door niet alleen te zien welke actie er is ondernomen, maar ook waarom, krijgen teams het vertrouwen om snel te reageren en de context om die beslissingen intern of aan belanghebbenden uit te leggen.

Resultaten in één oogopslag

  • Werklast voor analisten met 80% verminderd
  • Reactietijd op dreigingen teruggebracht van uren naar minuten
  • Verdrievoudigde capaciteit voor het afhandelen van dreigingen
  • De meeste dreigingen worden automatisch geclassificeerd

Wat volgt er?

Nu Doppel bijna volledige automatisering heeft bereikt voor phishing- en identiteitsfraudedomeinen, past het nu hetzelfde modelgestuurde raamwerk toe op andere kanalen met een hoge variabiliteit.

"Domeinen zijn waarschijnlijk het moeilijkste kanaal dat we behandelen", aldus Madduluri. "De signalen zijn rommelig, de inhoud verandert voortdurend en dreigingen ontwikkelen zich snel op meerdere vlakken tegelijk. Als we dat van begin tot eind kunnen automatiseren, kunnen we het voor alles doen: sociale media, betaalde advertenties, noem maar op."

De volgende mijlpalen zijn onder meer het exponentieel opschalen van hun RFT-gegevensset, het experimenteren met nieuwe beoordelingsstrategieën en het gebruik van GPT‑5 voor upstream kenmerk-extractie. Dankzij deze veranderingen kan Doppel pipeline-stappen combineren en al vroeg in het proces complexere dreigingsindicatoren analyseren.

Bij elke iteratie bouwt Doppel aan een systeem dat de realiteit verdedigt op elk vlak waar vertrouwen onder vuur ligt.