الإنسان في الحلقة
تتبع AuroraSOC فلسفة الإنسان في الحلقة (HITL): يتعامل عملاء الذكاء الاصطناعي مع العبء الثقيل للتحليل والارتباط، لكن القرارات الحاسمة تتطلب تفويضًا بشريًا. وهذا يضمن المساءلة ويمنع الذكاء الاصطناعي من اتخاذ إجراءات لا رجعة فيها دون رقابة.
عندما يشارك البشر
تصنيف العمل
| فئة | الإجراءات | الموافقة مطلوبة |
|---|---|---|
| ** للقراءة فقط ** | بحث SIEM، بحث IOC، ارتباط السجل، رسم خرائط MITRE | أبداً |
| ** تأثير منخفض ** | إنشاء حالة، وإضافة إدخال الجدول الزمني، وإنشاء تقرير | أبداً |
| متوسطة التأثير | حظر IP، وتشغيل الفحص، وإثراء IOC | فقط للأصول الهامة |
| عالية التأثير | عزل المضيف، تعطيل حساب المستخدم | دائماً |
| ** لا رجعة فيه ** | إبطال الشهادة، وحذف البيانات | دائمًا، مع قاعدة الشخصين |
سير عمل الموافقة
إنشاء طلب الموافقة
عندما يقرر وكيل الذكاء الاصطناعي أن الموافقة البشرية مطلوبة:
سجل الموافقة
يخزن كل طلب موافقة:
| مجال | وصف |
|---|---|
| بطاقة تعريف | معرف الموافقة الفريد |
| رقم الحالة | قضية التحقيق المرتبطة |
| نوع العمل | ما الإجراء الذي يتطلب الموافقة؟ |
| التبرير | منطق وكيل الذكاء الاصطناعي لهذا الإجراء |
| سياق | بيانات التنبيه/الحالة ذات الصلة |
| طلب من | نوع الوكيل الذي طلب |
| حالة | معلق / معتمد / مرفوض / منتهية الصلاحية |
| TTL | مدة البقاء (الافتراضي: 30 دقيقة؛ قابل للتكوين) |
| ** تقرر بواسطة ** | المحلل البشري الذي وافق/رفض |
| وقت القرار | عندما تم اتخاذ القرار |
دول الموافقة
التعامل مع المهلة
يُجري المجدول فحصًا لانتهاء صلاحية الموافقة كل دقيقتين:
# From aurorasoc/services/scheduler.py
async def _expire_approvals():
"""Expire approvals older than TTL."""
cutoff = datetime.utcnow() - timedelta(minutes=30)
expired = await db.query(
HumanApproval.status == "pending",
HumanApproval.created_at < cutoff
)
for approval in expired:
approval.status = "expired"
عند انتهاء صلاحية الموافقة:
- يتلقى الوكيل الطالب حالة "منتهية الصلاحية".
- يحدد الوكيل مسارًا بديلاً (عادةً التصعيد)
- يتم إنشاء إدخال تدقيق مع الإشارة إلى الموافقة الفائتة
- إذا كان الإجراء حرجًا من حيث الوقت، فقد يقوم الوكيل بإنشاء طلب جديد بدرجة عالية من الاستعجال
يستهدف الإعداد الافتراضي لمدة 30 دقيقة حلقات تعليقات المحللين السريعة للإجراءات عالية التأثير. بالنسبة للمؤسسات التي ليس لديها تغطية على مدار الساعة، فكر في ما يلي:
- زيادة مدة البقاء لسد فترات التوقف عن العمل
- إعداد سلاسل التصعيد حتى يتم توجيه الموافقات إلى الموظفين تحت الطلب
- الموافقة المسبقة على أنواع معينة من الإجراءات خلال ساعات العمل
مسار التدقيق
يتم تسجيل كل تفاعل بشري في الحلقة إلى جدول AgentAudit ودفق aurora:audit Redis:
{
"timestamp": "2024-01-15T12:07:30Z",
"event_type": "human_approval",
"agent_type": "incident_responder",
"action": "isolate_host",
"target": "workstation-0042",
"decision": "approved",
"decided_by": "analyst@soc.company.com",
"justification": "Host confirmed compromised via lateral movement",
"response_time_seconds": 195
}
يوفر مسار التدقيق هذا:
- أدلة الامتثال لعمليات التدقيق التنظيمية (SOC 2، ISO 27001)
- مقاييس الأداء — وقت استجابة المحلل لطلبات الموافقة
- بيانات التدريب — قرارات تاريخية لضبط الأتمتة في المستقبل
لماذا لا تكون أوتوماتيكية بالكامل؟
السؤال الذي يطرح نفسه دائمًا: "إذا كان الذكاء الاصطناعي واثقًا، فلماذا يتطلب موافقة الإنسان؟"
- المسؤولية القانونية — عزل خادم الإنتاج له تأثير على الأعمال. يجب على البشر أن يأذنوا.
- خطر إيجابي كاذب — حتى عند مستوى ثقة 95%، فإن 5% من المضيفين المعزولين سيكونون مخطئين.
- السياق الذي يفتقر إليه الذكاء الاصطناعي — قد تبدو الصيانة المجدولة بمثابة هجوم على الذكاء الاصطناعي.
- بناء الثقة — تتبنى المؤسسات الذكاء الاصطناعي بشكل تدريجي. تقوم HITL ببناء الثقة بمرور الوقت.
- المتطلبات التنظيمية — تفرض العديد من أطر العمل الإشراف البشري على الإجراءات الحاسمة.
تم تصميم AuroraSOC بحيث يمكن تعديل حدود الموافقة للسماح بمزيد من الإجراءات المستقلة مع زيادة الثقة.