Google 把 Gemini 接进暗网情报，安全团队开始追求“少噪音”

Google 把基于 Gemini 的暗网情报服务接进了 Google Threat Intelligence，并开放公开预览。按公开资料，这套能力会先为客户建立组织画像，再从每天约 800 万到 1000 万条暗网帖子与外部事件里，筛出真正相关的风险线索，包括初始访问中介活动、数据泄露和内部威胁等。Google 对外表示，内部测试里，这套系统对数百万条每日外部事件的分析准确率达到 98%。

先理解企业，再判断哪些暗网信息真的相关

传统暗网监测工具的一个老问题，是抓到的内容很多，但真正值得安全团队处理的内容很少。Google 这次的做法，是先让 Gemini 基于公开信息建立组织画像，去理解企业的品牌、业务、技术环境、关键人员和上下文，然后再把这些信息带回暗网监测流程里。

这样一来，系统不只是扫关键词，而是在判断“这条信息和这家企业到底有没有关系”。如果暗网里有人在卖某家大型北美银行的访问权限，描述里没有直接点名，但特征和组织画像高度贴合，系统也能把这类线索抬出来。

告警降噪，才是这类系统能不能落地的分水岭

Google 和 The Register 提到的共同指向都很明确：这套能力想解决的，不是“有没有更多暗网数据”，而是安全团队每天被过量低质量告警淹没的问题。Google 把内部测试里的准确率给到了 98%，而 The Register 援引 Google 方面说法称，传统暗网监测工具往往会制造 80% 到 90% 的误报。

这个对比如果成立，价值就不只是省一点人工，而是会直接改变安全运营中心的工作方式。过去很多团队做暗网情报，先看到的是一大堆模糊匹配和可疑提及，后面再靠分析师一点点排；现在更像是先由模型做初筛、打标签、补上下文，再把更值得看的东西送到人面前。

安全运营正在往“情报代理”方向走

这次更新也不是一项孤立功能。Google 在同一轮 RSA Conference 发布里，还把更多 AI agent 能力接进 Google Security Operations，包括告警分诊、调查、证据收集和给出结论说明。暗网情报这条线接上去之后，意味着前端的信息发现和后端的安全运营流程，正在被同一套模型能力串起来。

这会让安全团队的关注点慢慢从“怎么抓到更多信息”，转向“怎么更快理解哪些线索值得优先处理”。对企业来说，真正稀缺的从来不是情报数量，而是能缩短响应时间、减少误判和提升优先级判断的能力。

写在最后

Google 推出 Gemini 暗网情报与安全运营 AI 代理，表面上看是又一条“AI 进安全”的产品更新；往深一层看，它更像是在重写威胁情报和安全运营之间的交接方式。谁能先把海量噪音压下去，把相关线索抬上来，谁就更可能在下一轮安全工具竞争里占住位置。

来源：Google Cloud Blog、The Register

• https://cloud.google.com/blog/products/identity-security/rsac-26-supercharging-agentic-ai-defense-with-frontline-threat-intelligence
• https://www.theregister.com/2026/03/23/google_dark_web_ai/