Cyber Triage 3.18新版：AI与云自动化能力评测

2026-06-14阅读 0热度 0

自动化

Cyber Triage 3.18 刚刚发布了，这次更新给事件响应的数字取证工作带来了一些很实在的变化。简单说，就是加入了AI和云自动化能力，让整个调查流程更快、更完整。

Cyber Triage 这个名字，做数字取证和事件响应（DFIR）的朋友应该不陌生。它主要面向安全运营中心、托管安全服务商、顾问团队，还有执法机构，专门用来快速搞定恶意软件、勒索软件、账户接管这类入侵事件的调查。3.18版本的新功能，就是在这条路上又往前推了一步。

新增功能

Cyber Triage 3.18: New AI & Cloud Automation Capabilities
2026年6月10日

这个版本的核心亮点有两个：一是AI分析结果可以直接写回工具里，二是云端分析可以自动启动了。

新增功能：

新版本允许AI客户端（比如Claude Desktop）把“增强分析备注”和评分结果直接写回Cyber Triage。这能省下不少时间，也能减少手动复制粘贴时容易出的错。

这个功能支持各种大语言模型，包括：

说起来，之前版本的Cyber Triage已经加了一个只读的MCP服务器，用来做调查研究和生成报告。但那时候，用户还得在AI客户端和Cyber Triage之间来回切换，才能给项目打分或者写备注。到了3.18版本，GenAI客户端可以直接代劳了。

当然，为了让用户清楚哪些数据来自AI，设计上做了明确的区分。AI写入事件数据库的数据只有两种形式：

举个实际操作的例子。你可以给AI发一个提示，让它分析事件里的可疑项目：

之后，Claude就会给出它对可疑项目的分析结果：

这些结果会出现在应用程序中新增加的“AI Enrichment”区域里：

同样，在跟LLM对话的过程中，如果它觉得某个项目值得怀疑，也可以把它标记为可疑。这些结果会和其他可疑项目一起显示，并且会打上“AI-Suggested Finding”的标签：

LLM的版本信息和判断依据也会在详细信息里给出，同样以“[AI]”开头：

这里有个关键点：Sleuth Kit Labs认为AI确实能提升调查效率，但同时也必须清楚地知道AI被用在哪里，这样才能正确地验证它的分析结果。这个版本在节省操作时间的同时，依然保留了原始数据和AI生成数据之间的清晰界限。

在安全运营中心那种环境里，快速拿到结果太重要了。新版本带来的变化是：数据一上传到S3或Azure存储桶，分析就能立刻开始。

这意味着SOC分析师可以更快地发现更多信息——而这些信息，EDR未必能覆盖到。

具体实现方式是，Team Server企业版新增了一个API，可以接收S3或Azure Blob的URL，然后直接把它加到Cyber Triage的分析队列里。整个流程是这样的：

整个过程不需要人工干预，就能拿到带评分的取证分析结果：

Cyber Triage 3.18: New AI & Cloud Automation Capabilities
2026年4月16日

更多信息可以访问官方页面了解。