使用Cohere North和Wiz构建安全智能体

Cohere致力于为受监管行业和政府构建安全、主权级AI，其安全态势需与快速迭代的代码库、不断增长的云足迹和不断演变的威胁环境同步。为此，Cohere利用其企业AI智能体平台North，通过自定义模型上下文协议（MCP）服务器连接云安全平台Wiz，创建了一个安全智能体，可自动化处理从关键发现分类到生成事件响应报告、创建工单及更新Wiz状态的完整工作流。

挑战在于如何在云环境中弥合洞察与行动之间的鸿沟。Wiz能识别导致关键攻击路径的毒性组合，但将发现转化为协调行动仍需人工介入，平均每项关键发现需30分钟至2小时处理。Cohere通过将North转变为安全智能体解决了这一问题。

架构上，North原生支持MCP，通过轻量级Python MCP服务器暴露Wiz的八个原子工具，包括问题列表、详情检索、毒性组合分析、漏洞搜索、安全态势快照、资产查询、合规状态及更新操作。服务器通过共享密钥认证OAuth2凭据，确保安全。

文章详述了三个核心用例：毒性组合影响范围分析、辅助事件响应和自动周报。毒性组合分析通过提示North评估Wiz中的关键毒性组合，按攻击链排序，20秒内完成先前需半天的分析。辅助事件响应从获取最新关键问题开始，自动生成IR报告、创建Linear工单并更新Wiz状态。自动周报每周一凌晨运行，生成安全态势文档，包括执行摘要、指标表、前五关键问题、毒性组合聚焦、CISA KEV监控和建议行动。

实施后，安全工程师可直接获取预填充的报告和工单，首次人工接触点从原始告警转为评估智能体评估，更高效利用人力。关键经验包括：提示放置优先于长度、基于API实际行为验证假设、设计部分失败容错机制、通过区分发现类型减少幻觉。

North的MCP原生架构提供了集成灵活性，一次构建Wiz集成即可跨工作流使用，其推理能力处理复杂安全分析同时保持数据准确性。Cohere已将完整实现开源，并提供了从创建Wiz服务账户到部署MCP服务器、连接North的详细步骤。该方案包括五个步骤：创建Wiz服务账户、部署MCP服务器、连接North、添加系统提示、运行首个提示。通过克隆GitHub仓库、配置环境变量、使用Docker或Cloud Run部署，即可快速搭建。最终效果是每个周一凌晨自动生成安全态势简报，显著提升团队效率。