知行合“易”的智能体Teams

      导语

赛博易安一直专注于网络空间态势感知分析业务和技术研究，随着大模型的推出和高速迭代，团队一直紧跟智能技术发展，将大模型的能力与业务场景结合、与产品结合，解决业务问题。从本期开始，公众号将持续更新“网络空间智能应用”系列文章，今天推出本系列的第一篇《知行合“易”的智能体Teams》，介绍公司多智能体的认知和行动统一框架设计。

1 概述

伴随着大模型从文本到多模态的进化，公司算法团队基于早期的文本推理大模型到视觉理解多模态大模型，落地实现了KAG、RAG、NL2SQL、NL2nGQL、OSINT Agent等技术，积累了覆盖“数据采集—>素材加工—>知识挖掘应用”完整技术链条上的多个智能体，并与产品和平台能力整合，例如机构实体的开源信息收集助手（“大白鲨”产品）、异构数据治理智能体（“易泰”平台）、多模态信息提取智能体（“苍鹭”产品）、网络资产属主分析智能体（“林鸱”产品）等、知识图谱查询分析智能体（“苍鹭”产品）、数据挖掘分析智能体（“易泰”平台）、攻击事件线索溯源智能体等，构成了一支能够深度参与、高效处理网络空间态势分析业务的分工明确、各司其职、协作无间的智能体团队。

这些智能体并非孤立的应用，而是以“易泰”平台（参考公众号开篇文章《智能平权下的网络空间态势智能分析的新范式》）提供的统一知识模型和统一服务，作为“认知”和“行动”的语义和能力中枢，通过统一的业务数据模型、数据标准，避免各个智能体自说自话，通过统一服务接口和工具，确保各个智能体产生的逻辑和动作一致。

“易泰”平台集成了Skills、Agent Tools、MCP和插件等AI基础设施，支撑各个智能体从数据采集、清洗治理、特征提取到研究对象画像、关联挖掘、威胁溯源分析的全链路协同联动和业务闭环，并在实践中持续验证并完善优化智能体的能力，真正践行“知行合一”的技术落地。

2 智能体“团队”的“认知”统一

v  语义模型标准—“认知统一”的重要基础

我公司这些年陆陆续续接入处理了包括开源新闻/社交采集、社工泄露、明网/暗网资产测绘、全网拓扑测绘、漏洞扫描、DNS测绘、威胁情报、流量元数据、协议解析数据和威胁检测告警等异构动态更新数据，以及海缆、Wifi、基站、PoP、数据中心等POI稳态数据，逐渐积累了上百个跨层多域的网络空间业务数据模型体系，形成了公司内部平台、产品的语义模型标准。

v  Schema Linking—“认知统一”的技术落地

同样的，在智能体的信息抽取、数据探查等任务中，通过schema linking约束各个智能体使用统一的语义模型（主数据模型，知识图谱实体、属性和关系，标签和术语字典表等），实现跨智能体间的语义对齐与协同推理，既能够显著降低模型幻觉与歧义风险，同时还可支撑多源异构、跨模态的数据在统一语义框架下自动映射、融合与溯源。

Schema Linking的示例场景：

本体定义Schema：非结构化文档信息智能体，基于知识图谱的本体定义，从文本中抽取定义的实体、属性和关系，支撑图谱构建；

本体定义Schema + 统一标签：多模态推理智能体，从图片、视频中提取预定义的组织机构、人物、事件或场景等对象之间存在的语义关系，完成有效地视觉推理分析，输出标准标签；

本体定义、元数据Schema + KAG：知识图谱和数据检索智能体，通过语义schema linking，完成SQL、Graph的query语义与数据模型的对齐，准确完成图谱、数据的深度检索，也完成了基于统一语义的跨模态数据检索和关联挖掘。

3 智能体“团队”的“行动”划一

在“易泰”平台的智能体工厂中，我们将原有的系统工具、数据查询接口和算法服务接口等功能，封装成了智能体专用的Agent Tools、MCP Server，同时也集成了开源社区中众多常用的Agent插件和工具，通过标准化协议实现工具调用的统一注册、发现与执行，确保各智能体在任务编排过程中对同一工具的功能、逻辑和调用方法理解一致、参数传递准确、返回结果可解析。

平台封装的Agent Tools、MCP工具在开发时就遵循了平台内部的数据标准，确保工具输出可无缝写入数据存储层。集成的开源工具和插件的输出，通过挂载格式化输出和校验工具，提升了数据可用性。基于工具层的一致性设计，不仅提升了智能体协作的鲁棒性与可维护性，也使得复杂业务流程中的多步决策与动作执行具备了端到端的确定性与可追溯性。

4 智能应用业务场景

v  基于深度研究智能体的热点态势分析

为快速针对时事热点开展专题追踪和态势分析，设计开发了针对热点专题态势分析的深度研究智能体Research Agent，依托“易泰”平台实现了多智能体的分工、协作。

Agent Team中包含了研究任务规划、开源搜索、本地Data Agent、知识图谱分析等角色成员。

任务规划Agent：承担任务指挥调度角色，根据设定的SOP和意图理解，拆解研究任务和子专题（正在与Skills适配迁移）

Data Agent：应用“NL2SQL + 联邦检索”对本地存量数据的关联检索

文档检索Agent：应用RAG技术，在本地文档向量化知识库中检索匹配与专题相关的资料素材

新闻爬取Agent：通过Google、Bing、Tavily Search等完成实时新闻报道的搜索和信息提取

研究总结Agent：将其他成员返回的数据进行整合、加工和总结，形成研究分析结论，按照研究规划Agent制定的分析报告模板输出研究分析过程和结论。

通过上述智能体的协同研究，可基于结合联网搜索和本地闭源数据，挖掘出了与分析专题相关的组织机构、人物、活动和政策法规等重要实体，实现开源数据与闭源数据的深度融合分析。

v  基于邮件分析智能体的人物关系分析

我们长期保持着对威胁组织在暗网中的动向监测，在Conti、BF等组织和社区泄露的内部邮件和聊天数据中，可以分析组织中的人物角色、重要程度和人物之间的关系。以某境外泄露邮件分析为例，我们在应用图谱的路径分析和社区发现技术之外，还融合了以下几种Agent来提升身份识别和关系分析能力：

身份识别Agent：从邮件正文中识别出发件人的名片信息，能够有效解决名片信息不规范、邮件回复引用嵌套等识别问题，识别结果通过Schema Linking智能转换到不同类型的数据标准

关键信息提取Agent：除了从常规的邮件正文中提取关键信息以外，还能够从扫描件、图片等多模态文件中识别人物关键身份信息，生成标准结果

人物关系分析Agent：通过对邮件标题、正文内容、称呼、用词和语气等维度，从语义层分析人物之间的真实关系和亲密程度，映射到知识图谱的实体和关系定义。

通过结合上述智能体的深度挖掘分析能力，与社区发现算法的结合，发掘出了多个重要角色人物和人物之间的关联关系，对知识图谱中的实体和关系进行了完善和补全。

n  结语

文中介绍的多智能体统一框架，随着新的AI技术发展而持续进行迭代更新，团队正在跟进Agent Skills、Agent Memory、通用智能体等智能应用技术在网络空间业务分析中的工程化验证和应用转化，后面公众号将持续推出相关文章，分享我们的心得和体会。

n  参考阅读

《智能平权下的网络空间态势智能分析的新范式》

https://mp.weixin.qq.com/s/ci4xeER6fN2Hhdmicmx9_g