使用Cohere North和Wiz構建安全智慧體

Cohere致力於為受監管行業和政府構建安全、主權級AI，其安全態勢需與快速迭代的程式碼庫、不斷增長的雲足跡和不斷演變的威脅環境同步。為此，Cohere利用其企業AI智慧體平臺North，透過自定義模型上下文協議（MCP）伺服器連線雲安全平臺Wiz，建立了一個安全智慧體，可自動化處理從關鍵發現分類到生成事件響應報告、建立工單及更新Wiz狀態的完整工作流。

挑戰在於如何在雲環境中彌合洞察與行動之間的鴻溝。Wiz能識別導致關鍵攻擊路徑的毒性組合，但將發現轉化為協調行動仍需人工介入，平均每項關鍵發現需30分鐘至2小時處理。Cohere透過將North轉變為安全智慧體解決了這一問題。

架構上，North原生支援MCP，透過輕量級Python MCP伺服器暴露Wiz的八個原子工具，包括問題列表、詳情檢索、毒性組合分析、漏洞搜尋、安全態勢快照、資產查詢、合規狀態及更新操作。伺服器透過共享金鑰認證OAuth2憑據，確保安全。

文章詳述了三個核心用例：毒性組合影響範圍分析、輔助事件響應和自動週報。毒性組合分析透過提示North評估Wiz中的關鍵毒性組合，按攻擊鏈排序，20秒內完成先前需半天的分析。輔助事件響應從獲取最新關鍵問題開始，自動生成IR報告、建立Linear工單並更新Wiz狀態。自動週報每週一凌晨執行，生成安全態勢文件，包括執行摘要、指標表、前五關鍵問題、毒性組合聚焦、CISA KEV監控和建議行動。

實施後，安全工程師可直接獲取預填充的報告和工單，首次人工接觸點從原始告警轉為評估智慧體評估，更高效利用人力。關鍵經驗包括：提示放置優先於長度、基於API實際行為驗證假設、設計部分失敗容錯機制、透過區分發現型別減少幻覺。

North的MCP原生架構提供了整合靈活性，一次構建Wiz整合即可跨工作流使用，其推理能力處理複雜安全分析同時保持資料準確性。Cohere已將完整實現開源，並提供了從建立Wiz服務賬戶到部署MCP伺服器、連線North的詳細步驟。該方案包括五個步驟：建立Wiz服務賬戶、部署MCP伺服器、連線North、新增系統提示、執行首個提示。透過克隆GitHub倉庫、配置環境變數、使用Docker或Cloud Run部署，即可快速搭建。最終效果是每個週一凌晨自動生成安全態勢簡報，顯著提升團隊效率。