Переход к основному контенту
OpenAI

28 октября 2025 г.

ИИ-защита Doppel останавливает атаки до их распространения

С помощью GPT‑5 и дообучения с подкреплением (RFT) Doppel сократил нагрузку на аналитиков на 80 % и теперь устраняет угрозы за считанные минуты, а не часы.

Логотип Doppel белого цвета, расположенный по центру на фактурном темном металлическом фоне с изогнутыми линиями и заклепками.
Размер компании: стартап
Регион: Северная Америка
Промышленность: технологии
Продукты: API

Результаты

80%

снижение нагрузки на аналитиков

Результаты

3x

пропускная способность обработки угроз

Загрузка…

Один сайт-имитация может запуститься, нацелиться на тысячи пользователей и исчезнуть менее чем за час. Этого времени более чем достаточно, чтобы злоумышленник мог нанести реальный ущерб. С помощью генеративных инструментов они могут быстро создать еще сотни подобных.

Doppel был создан для защиты организаций от дипфейков и онлайн-имитаций, но быстро осознал, что искусственный интеллект позволяет угрозам масштабироваться до бесконечности. Злоумышленникам больше не нужно было вручную придумывать мошеннические схемы; они могли за считанные секунды создавать бесконечные варианты фишинговых наборов, поддельных доменов и учетных записей для выдачи себя за других.

«Ущерб от фишинговых атак может произойти в считанные минуты, так как они распространяются через социальные сети и каналы обмена сообщениями» Способность формировать бесконечное убеждение почти без затрат изменила всё.
— Рахул Маддулури, соучредитель и технический директор, Doppel

В рамках внедрения

Чтобы оставаться на шаг впереди, Doppel разработала новую систему защиты от социальной инженерии, основанную на моделях OpenAI GPT‑5 и o4-mini. Платформа Doppel обнаруживает, классифицирует и устраняет угрозы автономно, снижая рабочую нагрузку аналитиков на 80%, утраивает пропускную способность обработки угроз и сокращает время на ответ с часов до минут.

Опережая бесконечно более быстрые угрозы

Традиционная защита от цифровых рисков заключалась в том, что люди вручную проверяли сайты-имитации, фишинговые домены, а также профили и публикации в социальных сетях. Доппель заметил, что эта модель рушится, поскольку злоумышленники начали автоматизировать свои действия, запуская угрозы быстрее и на большем количестве прространств, чем люди могли их оценить.

«Наша система обрабатывает постоянный поток сигналов, чтобы выявить реальные угрозы среди информационного шума. Как только угроза обнаружена, остается очень мало времени, чтобы действовать, прежде чем будет нанесен ущерб. Использование ИИ для автоматизации принятия решений — одно из величайших достижений для компании, позволяющее нам бороться с атаками в масштабе и на скорости интернета»
— Рахул Маддулури, соучредитель и технический директор, Doppel

Такая скорость критически важна для клиентов Doppel, организаций, которые не могут позволить себе ждать часами, чтобы подтвердить угрозу. Система Doppel автоматически классифицирует большинство угроз, используя модели OpenAI для рассуждений и структурированную обратную связь, известную как отзыв с подкреплением (RFT), чтобы со временем улучшить модель.В RFT человеческая обратная связь используется как градуированные примеры, помогая моделям учиться принимать последовательные и объяснимые решения самостоятельно.

Организация обнаружения угроз с использованием LLM

Прроцесс Doppel, управляемый LLM, находится в центре стека обнаружения. После того как сигналы получены и фильтрованы, система выполняет серию целевых задач рассуждения: анализ потенциальных угроз, подтверждение намерений и принятие решений по классификации. Каждый этап разработан для обеспечения баланса между скоростью, точностью и последовательностью, при этом аналитики сосредотачиваются на крайних случаях, требующих человеческого суждения.

На схеме показан процесс обнаружения угроз с использованием LLM, начиная с поиска и фильтрации, через извлечение и классификацию признаков, до окончательной проверки и систем удаления. На ключевых этапах используются такие модели, как GPT-5 и o4-mini.

Вот как это устроено:

  • Фильтрация сигналов и извлечение признаков: Системы Doppel обрабатывают миллионы доменов, URL-адресов и учетных записей ежедневно. Комбинация эвристик и OpenAI o4-mini отфильтровывает шум и извлекает структурированные признаки для последующих оценок моделей.
  • Параллельное подтверждение угроз: каждый сигнал проходит через несколько промптов GPT‑5, специально разработанных для различных типов анализа угроз. Эти промпты оценивают такие факторы, как риск выдачи себя за другое лицо, неправомерное использование бренда или схемы социальной инженерии.
  • Классификация угроз: RFT-версия o4-mini синтезирует предыдущие подтверждения для присвоения структурированной маркировки — вредоносной, безвредной или неоднозначной — с производственной стабильностью.
  • Итоговая проверка: Второй проход GPT‑5 проверяет решение модели и формирует обоснование на естественном языке. Если уверенность превышает порог, система автоматически инициирует исполнение.
  • Проверка человеком: результаты с низкой степенью достоверности или противоречивые результаты передаются на рассмотрение аналитикам. Их решения регистрируются и возвращаются в цикл RFT, чтобы постоянно повышать согласованность модели.

Обучение моделей с помощью тонкой настройки с подкреплением (RFT)

Doppel уже добилась значительных улучшений благодаря своему исходному конвейеру обнаружения, улучшенному с помощью LLM, но когда дело доходило до случаев, когда одна и та же угроза могла оцениваться по-разному в зависимости от аналитика, именно согласованность стала ограничивающим фактором.

«Одно из реальных преимуществ, полученных от RFT, заключается в том, что ты делаешь решения этой модели более последовательными».
— Киран Аримилли, инженер-программист, Doppel

Чтобы обеспечить такую согласованность, Doppel применила RFT, используя собственные аналитические данные в качестве источника обратной связи. Каждое решение о классификации домена как вредоносного, безвредного или неясного становилось оценочным примером. Эти помеченные примеры обучили модель воспроизводить экспертное суждение даже в неоднозначных пограничных случаях.

Круговая диаграмма показывает рабочий процесс классификации угроз Doppel: производственные LLM принимают решения → рецензенты вносят исправления → обучение модели обновляет модели → внедрение отправляет обновленные модели в производство.

Тесно сотрудничая с командой прикладных инженеров OpenAI, Doppel разработала функции оценки, которые оценивали не только точность, но и качество объяснений, поощряя модели, которые рассуждали не просто правильно, но и ясно. Преобразуя отзывы аналитиков в структурированные данные для обучения, Doppel помог продемонстрировать, как RFT может сделать автоматическое обнаружение более последовательным и надежным.

Формируем доверие через прозрачность прроцессов

Настройка гиперпараметров и итерационные оценки сделали модель более согласованной с человеческим уровнем. Но для Doppel завершение последней стадии автоматизации также означало принятие решений, которые были сразу понятны.

Каждое автоматическое удаление теперь включает обоснование, сгенерированное искусственным интеллектом, объясняющее, почему угроза была устранена, предоставляя клиентам немедленное понимание причин предпринятых действий — то, что раньше требовало вмешательства аналитика.

На панели управления отображается предупреждение о блокировке домена «d0ppel.click» помечено за выдачу себя за Doppel. В сводке упоминаются фишинг и кража учетных данных, а справа отображается временная шкала, показывающая обновление статуса от создания до разрешения 10 октября 2025 года.

Такая видимость повышает доверие, что является важным фактором для пользователей Doppel. Видение не только того, какие действия были предприняты, но и почему, дает командам уверенность в быстром реагировании и контекст для объяснения этих решений внутри компании или заинтересованным сторонам.

Ключевые результаты

  • Нагрузка на аналитиков снизилась на 80 %
  • Время реагирования на угрозы сократилось с часов до минут
  • Пропускная способность обработки угроз выросла втрое
  • Большинство угроз классифицируется автоматически

Следующие шаги

Достигнув практически полной автоматизации для доменов фишинга и доменов-имитаций, Doppel теперь применяет ту же модельно-ориентированную структуру к другим каналам с высокой изменчивостью.

«Домены, вероятно, являются самым сложным каналом, с которым мы работаем», — сказал Маддулури. «Сигналы хаотичны, контент постоянно изменяется, а угрозы быстро развиваются сразу на нескольких фронтах. Если мы сможем автоматизировать это от начала до конца, мы сможем сделать это для чего угодно: социальные сети, платная реклама, что угодно.

Следующие этапы включают масштабирование их набора данных RFT на порядок, эксперименты с новыми стратегиями оценки и использование GPT‑5 для извлечения признаков на более высоком уровне. Эти изменения позволят Doppel консолидировать этапы прроцесса и анализировать более сложные индикаторы угроз на более ранних этапах процесса.

С каждой итерацией Doppel создаёт систему, которая защищает реальность на всех уровнях, где доверие подвергается угрозе.