使用Cohere North和Wiz構建安全智能體

Cohere致力於為受監管行業和政府構建安全、主權級AI，其安全態勢需與快速迭代的代碼庫、不斷增長的雲足跡和不斷演變的威脅環境同步。為此，Cohere利用其企業AI智能體平台North，通過自定義模型上下文協議（MCP）服務器連接雲安全平台Wiz，創建了一個安全智能體，可自動化處理從關鍵發現分類到生成事件響應報告、創建工單及更新Wiz狀態的完整工作流。

挑戰在於如何在雲環境中彌合洞察與行動之間的鴻溝。Wiz能識別導致關鍵攻擊路徑的毒性組合，但將發現轉化為協調行動仍需人工介入，平均每項關鍵發現需30分鐘至2小時處理。Cohere通過將North轉變為安全智能體解決了這一問題。

架構上，North原生支持MCP，通過輕量級Python MCP服務器暴露Wiz的八個原子工具，包括問題列表、詳情檢索、毒性組合分析、漏洞搜索、安全態勢快照、資產查詢、合規狀態及更新操作。服務器通過共享密鑰認證OAuth2憑據，確保安全。

文章詳述了三個核心用例：毒性組合影響範圍分析、輔助事件響應和自動週報。毒性組合分析通過提示North評估Wiz中的關鍵毒性組合，按攻擊鏈排序，20秒內完成先前需半天的分析。輔助事件響應從獲取最新關鍵問題開始，自動生成IR報告、創建Linear工單並更新Wiz狀態。自動週報每週一凌晨運行，生成安全態勢文檔，包括執行摘要、指標表、前五關鍵問題、毒性組合聚焦、CISA KEV監控和建議行動。

實施後，安全工程師可直接獲取預填充的報告和工單，首次人工接觸點從原始告警轉為評估智能體評估，更高效利用人力。關鍵經驗包括：提示放置優先於長度、基於API實際行為驗證假設、設計部分失敗容錯機制、通過區分發現類型減少幻覺。

North的MCP原生架構提供了集成靈活性，一次構建Wiz集成即可跨工作流使用，其推理能力處理複雜安全分析同時保持數據準確性。Cohere已將完整實現開源，並提供了從創建Wiz服務賬户到部署MCP服務器、連接North的詳細步驟。該方案包括五個步驟：創建Wiz服務賬户、部署MCP服務器、連接North、添加系統提示、運行首個提示。通過克隆GitHub倉庫、配置環境變量、使用Docker或Cloud Run部署，即可快速搭建。最終效果是每個週一凌晨自動生成安全態勢簡報，顯著提升團隊效率。