SecMate: Multi-Agent Adaptive Cybersecurity Troubleshooting with Tri-Context Personalization

📄 arXiv: 2604.26394v1 📥 PDF

作者: Yair Meidan, Omri Haller, Yulia Moshan, Shahaf David, Dudu Mimran, Yuval Elovici, Asaf Shabtai

分类: cs.CR, cs.AI

发布日期: 2026-04-29

💡 一句话要点

SecMate:利用三重上下文个性化的多智能体自适应网络安全故障排除系统

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 网络安全 故障排除 多智能体系统 虚拟客户助理 个性化推荐

📋 核心要点

  1. 现有大型语言模型在复杂支持方面存在不足,难以有效解决网络安全故障排除中的个性化问题。
  2. SecMate通过集成设备、用户和服务三重上下文信息,实现个性化的网络安全故障排除。
  3. 实验表明,SecMate显著提高了故障排除的准确率和用户体验,并降低了成本。

📝 摘要(中文)

本文提出SecMate,一个用于网络安全故障排除的多智能体虚拟客户助理(VCA),它集成了来自对话和设备层信号的设备、用户和服务特定信息。设备特定性由轻量级本地诊断工具提供,用户特定性依赖于隐式熟练度推断和感知用户配置文件的故障排除。服务特定性通过主动的、上下文感知的推荐器实现。在包含144名参与者和711次对话的受控研究中评估了SecMate。相对于仅使用LLM的基线,设备级证据将正确解决方案的比例从大约50%提高到超过90%,而逐步指导提高了用户体验并减轻了用户负担。推荐器实现了高相关性(MRR@1=0.75),并且参与者表现出以远低于人工基准的成本替代人工IT支持的强烈意愿。我们发布了完整的代码库和一个带有丰富注释的数据集,以支持对自适应VCA的可重复研究。

🔬 方法详解

问题定义:现有的网络安全故障排除方法通常依赖于通用解决方案,忽略了设备、用户和服务的特定上下文信息,导致效率低下和用户体验差。此外,依赖人工支持成本高昂且响应速度慢。

核心思路:SecMate的核心思路是利用多智能体架构,每个智能体负责处理不同类型的上下文信息(设备、用户、服务),并通过协同工作提供个性化的故障排除方案。这种方法能够更准确地诊断问题,并提供更有效的解决方案。

技术框架:SecMate的整体架构包含以下主要模块:1) 设备诊断模块:通过轻量级本地诊断工具收集设备层面的信息。2) 用户画像模块:通过隐式熟练度推断和用户配置文件分析,了解用户的技术水平和偏好。3) 服务推荐模块:根据上下文信息,主动推荐相关的服务和解决方案。4) 对话管理模块:负责与用户进行交互,收集信息并提供指导。这些模块通过多智能体框架协同工作,共同完成故障排除任务。

关键创新:SecMate的关键创新在于其三重上下文个性化方法,即同时考虑设备、用户和服务的特定信息。这种方法能够更全面地了解问题,并提供更个性化的解决方案。此外,SecMate还采用了多智能体架构,使得各个模块可以独立开发和维护,提高了系统的可扩展性和灵活性。

关键设计:设备诊断模块采用轻量级设计,避免对设备性能产生过大影响。用户画像模块使用隐式熟练度推断,避免用户主动提供个人信息。服务推荐模块采用上下文感知的推荐算法,提高推荐的准确率。对话管理模块采用自然语言处理技术,实现流畅自然的对话体验。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,SecMate相对于仅使用LLM的基线,将正确解决方案的比例从大约50%提高到超过90%。推荐器实现了高相关性(MRR@1=0.75)。参与者表现出以远低于人工基准的成本替代人工IT支持的强烈意愿,表明SecMate具有很高的实用价值。

🎯 应用场景

SecMate可应用于企业IT支持、个人网络安全助手等领域,帮助用户快速解决网络安全问题,降低IT支持成本,提高用户满意度。未来,SecMate可以扩展到其他领域的故障排除,例如智能家居、工业自动化等。

📄 摘要(原文)

Recent advances in large language models and agentic frameworks have enabled virtual customer assistants (VCAs) for complex support. We present SecMate, a multi-agent VCA for cybersecurity troubleshooting that integrates device, user, and service specificity from conversational and device-level signals. Device specificity is provided by a lightweight local diagnostic utility, while user specificity relies on implicit proficiency inference and profile-aware troubleshooting. Service specificity is achieved through a proactive, context-aware recommender. We evaluate SecMate in a controlled study with 144 participants and 711 conversations. Device-level evidence increased correct resolutions from about 50% to over 90% relative to an LLM-only baseline, while step-by-step guidance improved pleasantness and reduced user burden. The recommender achieved high relevance (MRR@1=0.75), and participants showed strong willingness to substitute human IT support at costs well below human benchmarks. We release the full code base and a richly annotated dataset to support reproducible research on adaptive VCAs.