文章总结： 本文探讨利用大模型辅助安全分析工作，通过定义标准工作流程减少模型幻觉。文章列举了AutoCAD病毒研判、邮件响应头分析及伪代码逆向三个场景，证明大模型能将分析时间从分钟级缩短至秒级。作者强调应拆分任务，让模型辅助人工而非全权代理，以提升效率并应对挑战。 综合评分： 86 文章分类： AI安全,逆向分析,恶意软件,安全运营,实战经验

使用大模型提高安全分析工作效率

原创

jishuzhain jishuzhain

OnionSec

2026年1月20日 12:06 广东

网络安全领域或多或少都需要对未知文件进行判断，区别点在于投入的时间以及所需的结论不同而已，例如我只需要判断某文件是黑或白即可，又或者这个文件对系统造成了什么影响？对恶意软件中涉及的技术进行还原提取并用于防御等等，获取这些结论的难度系数逐步提高。我开始思考了，能否因时因地改变我的工作模式？

目前基于大型语言模型（LLMs）的发展依然绕不开的困境是它具有存在幻觉的概率，所以减少幻觉或者消除幻觉是首要任务。如果一开始拿来干活肯定路走偏了，因为肯定不可控。我自己应当对各种需要特定技能的工作流程定义标准，让LLM来适应我，而不是去适应LLM。

好了，具体问题具体分析。接下来写一些LLM如何改变工作的流程，我平时需要研判未知文件，研判的输出肯定是两种结论，一种是恶意文件另一种是正常文件。基于这两种结论就会引申出两种场景，第一种是判断是否误报？如果不是误报那就是正报了，说明检测系统正常达到目标✅。

第一个场景是遇到acaddoc.lsp这类AutoCAD老病毒，一开始没有深度分析过。

但是检测系统检出了病毒，为了避免是误报，所以需要人工介入获取到举证信息证明没有误报。此类老病毒告警的场景我觉得还是有概率出现的，如果是以前没有LLM的时代，必然需要安全分析人员介入去获取检出病毒的举证信息，之后才能将此类事件进行闭环处理。而如今出现了LLM技术，很显然是可以尝试利用起来的。我的做法是查看 AutoLISP 脚本内容，将其输入 GPT5 后给出结论（时间位于2025年上半年，此时GPT5.2还未发布），简单研判给出的举证信息获得结论结束整个研判过程，我就不需要分析其中的代码逻辑了。此类动作平均节省时间从15 分钟 –> 50 秒。

第二个场景是反馈某邮件（xxxx.eml）文件被报毒，需要找到举证信息。根据报毒类型，利用积累的经验确定需要分析邮件里记录的网络交互响应数据。这里的经验无外乎是邮件看附件是否有问题，邮件正文是否有超链接，或者是安全设备告警邮件，里面会内嵌捕获的数据，而这些数据往往因为特征码而被再次报毒，核心点就是见过的恶意文件越多越有经验。现在确定是需要分析响应的数据是否有异常，直接复制响应头数据后交给 GPT5 分析给出结论。发现异常表明是正报，无异常表明是误报。检查 GPT5 发现的恶意痕迹代码，找到邮件内容中对应的代码片段确认无误后，结束整个研判工作，平均节省时间从 10 分钟 –> 10 秒。

第三个场景上一点难度，现在工作中需要分析伪代码（IDA工具输出）或汇编代码。以前没有LLM的时候，需要利用人的经验或积累的知识案例，逐步排除来确定需要分析的核心代码，分析找到的核心代码确定代码的意图，汇总整个代码流程与意图得到最终结论，整体过程较为耗时繁琐，这就是一个纯人工手工作业过程。而现在变成了利用分析人的经验或积累的知识案例，逐步排除确定需要分析的核心代码，分析找到的核心代码确定代码的意图，输入 GPT 后给出信息，对举证信息进行校验得到最终结论，整体过程较为轻松。平均节省时间从 20 分钟 –> 10 秒，无疑是巨大的进步，我就可以去思考探索解决更具有挑战更棘手的问题啦。

拆分任务流程，让LLM来辅助我，而不是全权交给它。优先解决幻觉，而不是一股脑上线，重复的事项是浪费生命的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《使用大模型提高安全分析工作效率》