Agentic SOC：用多智能体架构重塑钓鱼邮件检测流程

本项目是基于LangGraph的多智能体网络安全分析引擎，模拟真实SOC工作流程，通过LLM推理、实时威胁情报（如VirusTotal）和记忆系统实现可解释的安全决策，旨在自动化SOC分析师的调查流程，追求结构化决策与推理过程的可解释性。项目来源为GitHub的agentic-soc-runtime，由Finnete-20维护，发布于2026年6月4日。

传统钓鱼邮件检测依赖静态规则和分类器，仅简单标记合法/钓鱼，无法模拟SOC分析师复杂的调查流程（提取指标、查询情报、比对历史等）。Agentic SOC旨在自动化真实SOC调查流程，不追求单纯分类准确率，重点关注可解释性、结构化决策和SOC风格的推理过程。

系统将SOC流程分解为六个专业化智能体，通过LangGraph编排：

1. IOC智能体：提取邮件中的发件人、URL、域名等安全指标；
2. 威胁智能体：分析冒充企图、社会工程话术、紧急性操控等行为模式；
3. VirusTotal智能体：调用API获取URL的恶意/可疑评分等实时情报；
4. 记忆智能体：匹配已知钓鱼模式、重复诈骗结构；
5. 推理智能体：聚合前四层信号，用GPT-4.1-mini生成风险评分（0-100）、分类（合法/可疑/钓鱼）及结构化推理说明；
6. 报告智能体：生成包含最终裁决、风险评分、指标清单的SOC风格报告。

技术栈：后端用Python+FastAPI+LangGraph+GPT-4.1-mini+VirusTotal API；前端用React+TailwindCSS，支持扩展AbuseIPDB、URLScan.io等工具。 记忆系统：存储已知钓鱼模式，检测重复攻击结构，增强上下文推理与风险评分稳定性，使系统具备持续学习能力，区别于传统分类器。

项目提供评估流水线，运行python evaluate.py可输出evaluation_result.json、evaluation_report.json、SOC指标（准确率/精确率/召回率）及混淆矩阵。数据集包含钓鱼邮件、合法邮件、边缘案例（如Google表单诈骗、域名欺骗）共约40个样本。

应用价值：展示多智能体SOC推理、LLM辅助决策、实时情报集成、记忆增强检测、可解释性、评估驱动AI安全等方向。 总结：Agentic SOC代表从静态分类器向推理驱动工作流的转变，提升检测准确性的同时，提供传统规则引擎缺乏的可解释性与决策透明度，对探索AI在SOC应用的团队具有参考价值。