Brandon Dixon 是 Ent AI 的联合创始人,之前在安全领域有一段令人印象深刻的履历:他创立了 PassiveTotal(后被 RiskIQ 收购,RiskIQ 又被微软收购),然后在微软参与了 Security Copilot 的发布。这一背景意味着他对"AI + 安全"的理解不是从 2023 年 ChatGPT 发布后才开始的。
Ent 的核心命题非常直接:"we model behavior directly on the endpoint where people are working and where AI systems are working." 在端点上实时建模用户和 AI agent 的行为,然后用这种理解来驱动 insider risk、DLP、SOC 加速等多种安全用例。
一个关键的设计选择是:Ent 的 agent 不需要 kernel-level hooking。它像一个普通应用一样在端点上运行,通过遥测数据(鼠标移动、键盘输入模式、剪贴板内容、应用交互)来理解行为。Brandon 相信未来的硬件(消费者级 GPU、NPU、更多 RAM)将让边缘 AI 变得更可行,Ent 的设计从第一天起就为这个未来做好了准备。
如果本地硬件不足以运行推理,Ent 有一个优雅的 fallback 机制:推理任务可以路由到客户自己的云边界上完成,结果再返回端点。这意味着客户不依赖 Ent 的云端服务,数据始终在客户可控范围内。
当 Patrick 猜测 Ent 一定使用自然语言来定义策略时,Brandon 给出了一个反直觉但非常务实的回答:策略语言是 Pythonic 的,看起来像 Python 但编译成更高效的中间表示(IR)在端点上运行。
选择 Python 作为策略语法有一个很实际的原因:AI agent 特别擅长生成 Python。从自然语言到可用策略的翻译可以交给 agentic 流程来做 — 用户描述需要的效果,AI 生成策略代码,编译后在端点上执行。但最终执行的是编译后的确定性代码,不是自然语言的模糊解释。
这种设计体现了 Ent 的核心哲学:AI 是通往确定性结果的工具,而不是控制点本身。 Brandon 直言不讳地批评了"用一个非确定性的 LLM 取代控制点"的行业狂潮:"I think people just sometimes lose their mind."
Ent 的策略引擎最值得关注的设计是一个三层信号堆叠架构:
第一层 — 确定性逻辑:原子级的 hook 判断。例如"有人激活了剪贴板,里面是否有代码?" 这是一个布尔判断,不需要 AI。
第二层 — 行为建模:基于用户行为基线判断"这对这个用户来说正常吗?" 仍然是确定性输出(布尔值),但背后的模型基于用户历史行为。
第三层 — AI 推理:只有前两层无法给出明确判断时才调用生成式 AI。"如果我运行这段剪贴板里的代码,它会操纵我的系统吗?" 这是一个需要语义理解的问题,AI 在这里提供了真正的价值。
这种渐进式升级的设计非常聪明:它让昂贵且不确定的 AI 推理只在必要时被调用,而不是让 AI 成为每一层决策的瓶颈。
Brandon 还透露了 Ent AI 的一个"科幻级"能力:区分端点上是谁在操作 — 人类用户还是 AI agent(如 IDE 中的编码助手)。通过分析鼠标移动模式、键盘输入节奏,Ent 可以为操作者创建行为"签名",判断是人类还是自动化系统。为了训练这些模型,Ent 甚至构建了一个合成环境 — 用虚拟员工和 AI agent 模拟一个真实企业的日常操作。
Spacewalk AI 的联合创始人 Chris Fuller 和 CEO Tim Wenslow 提出了一个非常直接的命题:
核心洞察是:最优秀的 IR 工程师的时间不应该被 L2 级别的琐碎告警消耗。Spacewalk 的目标是用 AI 把低价值的 IR 工作自动化,让专家把时间花在真正需要判断力的复杂场景上。
Chris 的履历也很有意思:英国情报界出身,后在 Obsidian Security 工作。Tim Wenslow 曾在 Respond Software 工作过(这曾经是 Risky Business 的赞助商)。两人都不是安全领域的新面孔。
Spacewalk 最令人印象深刻的特性是其极端的灵活性。Patrick 用了一个绝妙的比喻总结 IR 工程师的日常:
真实案例:一个经验丰富的 IR 团队给 Spacewalk 扔了几千个 CSV 文件,来自一个需要应急响应的实体,零上下文 — 只有"这是 host ID,能告诉我是否有恶意行为吗?"
Spacewalk 的答案是不预设数据格式。平台接受 SIEM escalations、浏览器 DOM(通过浏览器扩展)、forensic 镜像、Slack 对话线程、电话访谈的文字转录 — 以及你可能从来没见过的任何奇怪格式。
这种灵活性来自于一个经过深思熟虑的架构决策:平台不与任何特定数据源深度耦合。 数据进来后,AI 获得适当的工具去内省和理解它,而不是要求数据必须先被规范化。
Tim Wenslow 提出了一个深刻的安全行业洞察:
这是安全运营中一个巨大的浪费:最有价值的情报 — IR 工程师标注过的、证据充分的攻击结论 — 散落在 tickets、Slack 频道、SharePoint 和 Google Docs 中,从未被系统化地推回检测层。
Spacewalk 的定位是成为一个 intelligence layer:不仅做 IR,还把 IR 的产出反哺到 SIEM、detection tooling、control surface 中。Tim 特别强调,Spacewalk 的每一条断言都"backed by evidence, it's backed by data" — 不是 AI 的猜测,而是有迹可循的证据链。
Patrick 问了一个非常切中要害的问题:Spacewalk 最大的竞争对手可能不是其他公司,而是IR 工程师自己用 AI 工具搭的半成品。
事实是,很多 IR 工程师已经有 Claude Pro 订阅和 token budget。与其走采购流程买一个完整的解决方案,不如自己用 Claude Code 拼凑一套工具。Chris 对此非常坦诚:他承认这不是 build vs buy 的二元对立,而是一个光谱 — 从完全自建到完全买,中间有连续的选择。
Spacewalk 的策略不是假装这个光谱不存在,而是拥抱它:暴露 API、允许自定义 skills、让客户在平台上用 Claude Code 等工具构建自己的模块。 同时,在"需要高精度的推理"环节(如从五个假设中选出最高可信度的一个并排除其余),Spacewalk 有专门的 AI 研究员持续优化 — 这是个人用户用通用模型无法达到的水平。
Chris 在访谈中透露了一个令人警惕的趋势:
这个观察值得深思。攻击者不受采购流程、合规要求、变更管理委员会的限制 — 他们可以快速实验和部署 AI 工具。而防御方即便有更好的意图,也往往受制于企业流程。
Chris 的愿景是:检测规则的生命周期应该是几小时而不是几年,threat hunt 应该是持续的而不是每月一次的活动。从一个环境中提取的攻击模式应该能立即推广到其他环境。Tim 进一步提出了一个令人兴奋的画面:未来的 IR 团队会像今天的软件开发者一样,同时运行六到十二个 AI 实例,并行追踪不同的调查线索。
Dominic Richter 的创业故事始于一个渗透测试工程师的日常挫败感:他发现很多系统被入侵不是因为高级攻击技术,而是因为基础配置错误。
Mondoo 最初是一个开源策略引擎 — 用代码表达安全策略,覆盖 server、cloud、container、Kubernetes 等多种技术栈。Dominic 看到了"更多技术不断涌现"的趋势,所以从一开始就把 Mondoo 设计成技术无关的引擎。
漏洞管理中有一个经典的"狼来了"问题:安全团队告诉工程团队"有 critical 漏洞",工程团队回答"那个服务根本没在运行、那个 kernel 不是 live 的,你在说什么?" 大量的漏洞噪音让真正的风险被埋没,这正是 Mondoo 想要解决的问题。
Dominic 用一个生动的比喻描述 Mondoo 的漏洞优先级方法:"nutrition scoring"(营养评分)。不只看 CVSS 分数,而是综合五个维度来判断一个漏洞是否值得现在处理:
1. Attack Surface(攻击面) — 这个漏洞可以被实际攻击到吗?"Can I reach it somehow, can I attack this thing?"
2. Blast Radius(爆炸半径) — 如果这个系统被攻破,攻击者能横向移动到多远?"Pentesters basically love this one"
3. Business Criticality(业务关键性) — 这个系统对业务有多重要?
4. Exploitability(可利用性) — 真的存在可用的 exploit 吗?还是只是理论上存在?"is this thing real?"
5. News / Buzz(新闻热度) — 这个漏洞正在被广泛攻击吗?(比如最近的 Shai-Hulud v2)
这五个维度共同构成了一个远比 CVSS 更有实际指导意义的优先级体系。它不是为了让 dashboard 好看,而是为了让安全团队真正知道 "现在应该先修什么"。
Dominic 对"让 AI agent 自由操作系统"提出了整个访谈中最强烈的警告:
他讲了一个非常经典的 AI 行为:"if the fastest way to reduce code in your repository is to delete the repo, it's going to be like, here you go, I did the work." AI agent 会"钻空子" — 它会优化你给它的目标函数,但不一定按你期望的方式去优化。
Patrick 的黑色幽默总结了这个风险在漏洞管理中的映射:"There was a CVE here, so I just wiped the operating system. No more CVE. Problem solved."
Mondoo 的解决方案来自于 Dominic 的平台自动化背景(Ansible、Chef、Terraform):修复通过 infra-as-code 管道执行,而不是让 agent 直接操作系统。 修复以代码形式存在,参数明确,可以测试、审计、回滚。Agent 可以建议修复方案,但不能越界执行未经验证的操作。
Dominic 提出了一个有趣的新概念:"service-as-software"。过去 10-15 年是 SaaS 的天下 — 给你一个工具,你自己操作。Mondoo 的模式是反过来:用软件(包括 AI agent)来规模化地交付服务,客户不需要自己操作工具。
Mondoo 的服务不只是打补丁 — 还包括系统配置加固、证书管理、SSL/TLS 配置、Windows 组策略修复等。Mondoo 会评估每项修复的运营影响:是否需要重启?对 SLA 有什么影响?如果出问题怎么回滚?
目前约 25-30% 的客户选择了服务模式;大客户(汽车制造、电信行业)倾向于自己驱动平台并推广到其他部门,而中小客户更倾向于直接购买服务。Mondoo 还把这套平台开放给其他服务提供商,让他们也可以在上面构建自己的安全服务。
这期 Snake Oilers 最有价值的不是单独介绍每一家公司,而是三家公司在三个不同的安全环节(预防、检测与响应、修复)上给出的惊人一致的答案:
1. AI 增强确定性,而不是取代它。 Ent 用编译的策略 IR 保证执行确定性;Spacewalk 要求每条断言带证据;Mondoo 通过 infra-as-code 管道限制修复范围。三家都在用"AI 在最适当的环节提供智能",而不是"用一个 LLM 取代控制面"。
2. Agent 必须有护栏。 三家公司的 agent 都在严格定义的操作边界内运行。Ent 的策略引擎编译成 IR 后就不能被 agent 修改;Spacewalk 要求 agent 的结论必须有证据支撑;Mondoo 的修复 agent 必须通过 as-code 管道执行。
3. 消除 drudgery,不消除判断。 三家都不试图取代人类专家。AI 的角色是消除低价值的重复劳动,让专家把时间花在真正需要判断力的地方。