案例展示| 知道创宇——基于Python-use创新范式的AiPy智能体平台

知道创宇——基于Python-use创新范式的AiPy智能体平台

近年来，人工智能技术的快速发展深刻地改变了网络安全的攻防格局。人工智能技术的普及极大地降低了网络攻击的门槛，使攻击者能够以更低成本、更高频率、更强隐蔽性实施攻击。黑客组织和攻击者正广泛使用AI大模型来生成钓鱼邮件、自动化漏洞利用、混淆攻击特征，甚至通过大模型生成针对性极强的社会工程学攻击内容。AI让攻击的成本更低、效率更高、可控性更强、可追溯性更差，使网络安全防御面临更加复杂和动态的威胁环境。

“用AI对抗AI”已成为当下网络安全行业的共识与主流策略。国内的安全厂商也在加速布局，陆续发布了结合大模型的安全运维助手、安全情报分析模型等产品。特别是2025年以来，随着智能体时代的到来，部分聚焦前沿技术的网络安全厂商在原有安全大模型基础上，升级推出了安全智能体产品，提升安全防御能力。

在这一浪潮中，知道创宇推出的爱派（AiPy）成为业界具有代表性的探索与实践。AiPy以“Python-use范式”为核心理念，创新性地让大语言模型具备了通过自然语言理解任务并直接调用Python执行的能力，为安全场景提供了智能执行框架。这意味着，安全人员或系统不再需要复杂编程，只需用自然语言下达指令，即可让AiPy在隔离环境中执行数据分析、漏洞检测、日志审查、威胁建模、策略优化等操作，从而实现“AI理解+自动执行+安全可控”的闭环。

当前，尽管人工智能在网络安全领域展现出巨大潜力，但在实际落地过程中仍面临显著的技术与应用瓶颈。通过对数百家政企单位的调研，知道创宇团队发现：许多企业虽然积极拥抱AI，却普遍面临“AI只会说不会做”的困境。传统大模型擅长生成方案、分析原理，却无法真正执行任务。以日志分析为例，让AI分析10GB日志时，它能条理清晰地阐述分析步骤，却无法完成实际的数据清洗、提取与建模工作，导致用户反而成了AI的“手”，无法真正实现智能提效。AI在安全领域的应用受到内外多重限制。

安全控制限制：大模型出于合规与安全考虑，往往禁止生成具备攻击性或渗透性的指令，难以在攻防仿真、漏洞验证等专业安全任务中发挥作用。

上下文限制：模型token受限，难以直接处理几十GB级别的安全日志、网络流量或漏洞数据。

数据隐私限制：大量敏感安全数据无法上传至云端模型，存在信息泄露风险。

漏洞信息黑箱：公开漏洞库（如CVE）的覆盖率不足，零日漏洞与内部漏洞情报难以被模型学习。

系统封闭性强：安全厂商出于防护考虑，不可能开放MCP接口供模型直接控制系统，也无法提供“可被滥用”的执行权限。

真实数据缺乏：钓鱼邮件、APT样本等数据集因法律与隐私风险难以公开，导致AI难以训练出高精度的检测能力。

针对这些挑战，AiPy以“让AI能动手”为核心目标，突破了过去AI只会思考的局限。通过Python-use范式实现“思考+执行”闭环，让AI不仅能生成安全分析思路，更能直接调用工具、执行操作、完成任务，从而真正落地在威胁分析、日志检测、漏洞验证、攻防演练等复杂场景中。AiPy内置安全沙箱与本地执行机制，既能保证数据安全与隐私，又能处理大规模离线数据，为网络安全领域提供可控、可执行、可追溯的智能体解决方案。

通过AiPy，AI从“顾问”转变为“工程师”，从被动响应走向主动执行，真正推动了“AI做安全”的落地。它不仅提升了漏洞发现、威胁检测、日志分析等核心环节的自动化水平，也为网络安全领域的智能化转型提供了可复制、可扩展的实践范式。

AiPy将大模型能力、Python编程能力与知道创宇的安全数据能力深度融合，构建起完整的感知—行动—反馈闭环。该闭环通过精确的环境感知、可执行的行动模块、及时的反馈回路及实战级知识库支撑，实现在复杂安全场景中的可控验证与持续迭代。

AiPy 主要功能

AiPy依托Python执行环境，自动采集并结构化本地环境信息——包括操作系统版本、已安装软件及其版本、网络分段与拓扑、运行中的进程与服务、目标主机状态等。通过对环境的实时感知与建模，AiPy可在任务执行前精准判断操作边界与潜在风险，确保安全行动的有效性与可控性，为后续漏洞检测、渗透测试及威胁分析提供可靠基础。依托细粒度代码控制与本地执行机制，AiPy提升了任务执行的安全性与稳定性。

基于对任务意图与现场环境的理解，系统由大模型生成或组装可执行的Python脚本，进而调用或调度既有的渗透测试工具与安全模块执行预定动作。该执行链路覆盖任务分解、脚本生成、工具调用与结果采集，能够在受控流程内完成从策略到实际操作的闭环，使方案验证可以在同一平台内完成。

在执行阶段产生的错误信息、运行日志与检测输出被实时回收并反馈至模型与任务引擎，用于校正脚本、调整策略与更新判别规则。通过将运行数据作为训练或调参依据，系统实现了执行评估优化的循环，保证后续任务在准确性和稳健性上持续提升。

AiPy深度整合知道创宇的实战级数据资源（包括大规模黑客指纹库、漏洞情报条目与研究成果），将这些结构化情报作为检索与推理的基础知识层。该知识库不仅支持精确的威胁匹配与溯源分析，也为脚本模板、检测规则与利用验证提供经验参考，使平台在攻防场景中具备真实可用的实战价值。

AiPy不仅显著提升了安全运维与攻防工作的效率，更通过自主辅助网络安全人员执行持续监控、漏洞管理、威胁检测、事件响应和安全决策等关键任务，全面增强了组织的网络安全防护体系。

在实际应用中，AiPy充分发挥其AI智能体优势，展现出强大的作战能力，既能像红队一样主动进攻、验证防御体系的强度，又能像蓝队一样深度侦查、监测潜在威胁。具体表现如下：

防御机制有效性验证：通过自动改写PHP代码逻辑，智能调整函数调用与执行顺序，实现对主流杀毒引擎与安全防护机制的有效绕过，为红队测试提供高隐蔽性支持。

免杀工具生成：依托大模型的代码生成能力，AiPy可自动开发高质量的红队免杀工具，提升实战攻防测试的灵活性与针对性。

威胁狩猎分析：结合Suricata等IDS系统日志，AiPy能快速识别攻击行为模式，分析攻击链路并生成威胁画像，助力蓝队实现自动化威胁溯源与响应。

漏洞利用与验证：可自动识别并验证复杂漏洞，如Neo4jCypher注入，通过生成利用脚本并模拟攻击路径，有效评估系统防护能力。

渗透测试执行：能够主动探测目标环境，生成完整的攻击流程脚本并执行测试任务，形成自动化、可复现的渗透测试闭环。

资产测绘与安全评估：通过联动ZoomEyePro等测绘引擎，AiPy可精准识别目标内网资产，结合漏洞情报生成“两高一弱”（高危漏洞、高风险端口、弱口令资产）安全评估报告，为企业提供全面、量化的安全风险画像。

在交互方式上，AiPy进一步提升了安全操作的效率。平台支持自然语言交互式操作，用户仅需以对话形式描述需求（如“分析最近一周的Web入侵行为”或“检测服务器弱口令”），AiPy即可自动调用相应的检测工具、分析日志数据并生成处置建议，实现“对话即安全运维”的新模式。这种创新的人机协作方式，使企业安全团队能够以更低成本、更高效率完成复杂的安全任务。

值得强调的是，AiPy的能力不仅局限于网络安全领域。从底层架构来看，AiPy本质上是一款具备通用智能体特征的本地AI助手。在具备安全执行沙箱与Python-use范式的支持下，AiPy同样能在多种复杂场景中发挥价值，包括自动化文档生成与排版、本地文件批量处理与脚本控制、IoT设备联动与远程操作、数据可视化分析、图片与视频生成、量化研究、甚至游戏脚本生成与调试等。这使AiPy成为兼具安全专业性与通用性的AI智能体。

AiPy集大模型推理能力、Python执行能力于一体，为网络安全和通用智能应用提供了可落地、可控、可追溯的智能化解决方案。

传统AI在面对复杂业务任务时，常停留在生成方案的层面，缺乏实际执行能力。AiPy构建了从任务理解、代码生成、操作执行到结果修正的完整闭环，实现了全流程自动化。

用户无需编程技能，仅需通过自然语言描述需求，如“扫描网站漏洞”“生成安全评估报告”或“分析日志检测入侵行为”，AiPy即可自动拆解任务逻辑，生成并执行相应脚本。在任务执行过程中，如遇异常或错误，系统能够自主调试、修复并重试，直至任务顺利完成，从而显著提升网络安全、数据分析及办公自动化等环节的工作效率。

在安全敏感场景中，数据隐私与合规性始终是AI落地的关键制约因素。AiPy通过本地化部署，实现所有数据均在用户的本地环境中处理与存储，杜绝外网传输风险，保障数据安全与隐私合规。

如在某大型能源企业的实际应用中，AiPy成功在本地环境下完成了对400GB工控系统日志的分析任务，显著提升检测效率的同时，实现了零外泄风险的合规操作。AiPy在内网安全执行的模式，使其成为政企、能源、金融、制造等高安全等级行业实现AI智能化转型的首选方案之一。

AiPy不仅是一款安全智能体，更是一款AI助手，具备通用智能体特征。它可在多种业务场景下完成任务，包括海量数据报表处理、合同文本分析、IoT设备控制、工业流程执行、量化研究、图片与视频生成，以及文档和可视化报告自动化生成。

通过自动生成与执行Python脚本，AiPy实现了高度可扩展、可编排的执行体系，使其能够跨网络安全、办公自动化、科研实验、工业控制等领域提供智能化支持，成为真正意义上的全场景执行平台。