文章总结： 文档指出国家安全威胁行为者利用多平台和工具规避侦测，单一平台治理存在局限。通过案例分析，提出多模型协同和多平台信息共享的多源融合威胁识别机制，以提升威胁检测能力。建议建立威胁情报融合中心，加强跨平台协作。 综合评分： 70 文章分类： 威胁情报,安全建设,网络安全,AI安全,应急响应

多模型、多平台协同下的国家安全威胁识别研究：单一平台治理为何不足

001 001

情报分析师

2026年3月24日 11:20 辽宁

跨平台、跨工具的威胁活动挑战

当今国家安全威胁行为者（包括恐怖主义者、J端主义者等）日益善于利用多个网络平台和多种工具来规避侦测和打击。

在一个平台上实施严密管控往往会导致威胁分子转移到另一个平台，使传统的单一平台监控模式捉襟见肘。

这些威胁行为者常常在Telegram、Discord、Reddit、匿名影板等社交平台之间频繁切换，并借助VPN匿名工具、AI变声技术和自动内容生成器等手段掩盖行踪。

例如，网络犯罪和J端组织通常会使用虚拟专用网络（VPN）来隐藏真实位置，从而规避执法部门的追踪 。

VPN和代理服务的使用在J端组织中相当普遍——早在2016年就有报告指出，圣战分子广泛依赖VPN来逃避执法监控 。

此外，随着人工智能的发展，威胁分子还能利用AI语音和视频换脸技术冒充他人，以假乱真地进行沟通 。

这些跨平台、跨工具的灵活切换与隐匿手段，大大增加了威胁行为的侦测难度。

图片：泰勒·斯威夫特在其“时代巡回演唱会”上表演。一名21岁男子在奥地利被指控策划在她维也纳的一场演唱会上发动恐怖袭击。照片：Scott A Garfitt/Invision/AP

一个典型案例是2024年泰勒·斯威夫特维也纳演唱会恐袭未遂案。

在该事件中，奥地利警方逮捕了一名21岁的男性嫌疑人及其同伙，其中包括一名未成年者。

调查显示，这些策划恐袭的人员通过多个通信平台分享“YSL国”（IS）的宣传，包括利用各种消息服务传播J端组织宣扬的视频和材料 。

这意味着他们并未局限于单一社交媒体或聊天应用，而是跨平台地进行沟通联络，从而增加了执法部门情报获取的难度。

正因为使用了“各种消息服务” ，执法部门难以及时在一个平台上捕捉到完整图景，必须调动多方资源进行信息融合。

另一个发人深省的真实案例是“764网络”——一个国际在线X侵与J端暴力组织。

调查发现，764网络的成员遍布多个常用平台和非传统空间：它主要活跃于Discord和Telegram等聊天平台，同时也渗透到了Roblox、Minecraft等电子游戏平台 。

764网络通过上百个聊天群组协同运作，并不断更换名称、迁移平台以躲避监管 。

美国联邦调查局（FBI）将其列为最高级别的恐怖威胁，并披露该网络在至少八个国家开展活动 。

华盛顿邮报曾调查指出，Discord在一年内移除了34,000个与764相关的账号，但该组织依然通过不断重建群组和转移平台来顽固存续 。

这说明，当威胁分子能够跨平台迁移时，单一平台的内容移除并不能彻底铲除威胁。

他们往往在一个平台被封禁后，迅速转移阵地，将受众和操作转入新的平台或渠道，形成打不尽的“打地鼠”困境。

单一平台治理的局限与失败案例

传统情报、反恐和执法机构习惯于各自管辖范围内的平台进行监控和治理。

然而，面对跨平台的威胁活动，这种“各扫门前雪”的模式明显捉襟见肘。事实证明，仅依靠单个平台的内容审查和算法检测，往往无法识别那些跨平台协同的威胁模式。

很多J端组织或个人在不同平台上呈现出碎片化的活动轨迹：比如在一个平台上发布预告式的隐晦信息，在另一个平台策划具体行动，在第三个平台分享作案手法或宣称效忠。

这种分布式行为使得每个平台各自看到的只是拼图的一小块，很难在事前拼出全貌。

有研究专门分析了近年来多起暴力J端事件，发现作案者往往涉及多个在线平台。例如，一份关于多起校园枪击和恐袭未遂案的报告指出，这些案件有一些共通特征：“在多个平台上表达暴力意向”，涉案人员接触了跨不同意识形态的J端内容，且在长时间内这些令人担忧的线上活动都未被平台识别 。

事后审视，这些危险信号其实清晰地散落在不同网站和应用上，但由于各个平台各自为政、缺乏情报共享，导致没有任何一方在事前察觉全局威胁 。

该分析所总结的：“平台的内容审核系统未能检测策划活动，未能识别跨平台协调模式，也未能在现实暴力发生前介入” 。

换言之，当威胁分子将活动切分在多处，单个平台的风控模型只能各自发现片段信息，而无法将其串联成威胁图谱。

美国一起知名案例凸显了这一困境：2022年发生的布法罗超市枪击案嫌犯曾在Discord上写下详细的作案日记，同时在Twitch上策划直播，并浏览过J 端论坛获取灵感。

这些平台各自的审查并未将嫌犯的行为与危险计划关联起来，最终未能阻止悲剧发生。

许多西方国家的执法机关在反思中承认，他们以往倾向于依赖社交媒体企业各自提供的内容报告，缺乏跨平台的威胁情报融合机制。

这种碎片化治理模式面对“多平台游击战”式的对手时，明显力不从心。

不仅是平台之间缺少协同，单一类型模型的不足也体现在检测技术层面。现有的机器学习内容检测模型，往往针对特定平台的数据训练，对其它平台或变化了形式的威胁信号敏感度不够。

更棘手的是，随着大型语言模型的出现，自动生成的违规或有害内容可能逃过传统过滤。

研究表明，过去用于识别谣言和J端言论的机器学习模型，在对抗由ChatGPT一类AI生成的内容时，性能显著下降 。

原因在于AI生成内容在语言风格上与人工撰写的有所不同：它可以操纵语调和行文，使得攻击性或煽动性内容更隐晦，更具迷惑性 。

在一项实验中，一个训练用于检测社交媒体谣言的模型对AI自动生成的误导信息漏判率远高于人工内容（500条AI谣言中漏掉27条，而同等数量人工谣言仅漏掉2条） 。

这说明，威胁分子若利用生成式AI改写J端言论，可能成功骗过平台的内容审核算法，从而继续传播有害信息。这进一步凸显了单一平台、单一模型治理的局限性。

真实案例解析：跨平台威胁行为模式

为了更深入地理解跨平台威胁的特征，可以剖析几起公开案例：

1. 奥地利青少年J端主义策划案（2024）：前文提到的泰勒·斯威夫特演唱会恐袭阴谋即属此列。涉案主谋被捕时21岁（另有未成年人共犯），他们使用了社交媒体上不同的即时通讯服务来宣扬IS思想，并获取爆炸物制作指南 。美国情报部门甚至介入提供线索，最终助奥地利挫败了阴谋 。该案反映出：J端分子善于利用多平台传播和学教程，单靠监控一个平台难以及时全面掌握其动向。
2. Discord/Telegram上的“764”剥削组织（2021—至今）：764网络充分利用各类平台优势谋恶。在Discord被封群后，他们转战Telegram继续运营；当聊天平台打压力度加大，他们竟潜入儿童游戏社区（Roblox、Minecraft）物色目标 。他们还在暗网上出售勒索获得的非法材料，以逃避明网监管 。这种跨平台、多渠道的存在使得任何单个平台的行动都只能暂时干扰其部分活动，无法连根铲除整个网络。尽管Discord和Telegram都意识到这些团伙的存在并试图封禁，但几十个相关频道至今依然活跃 。
3. 社交平台策划的大规模暴力事件：美国一些近期的未遂恐袭和枪击阴谋中，策划者在不同网络社区中留下线索。例如有报告称，至少有7起校园枪击和9起挫败阴谋与一个网络“真犯罪社区”（True Crime Community）有关 。这些涉案者一方面在网上膜拜过去的大规模暴力事件，另一方面跨群组交流战术、互相怂恿 。遗憾的是，这些在线活动中包含的危险信号分散于多个平台，没有单个平台的审核系统成功将其定性为现实威胁 。

以上案例凸显一个共同点：威胁行为呈“跨平台、多节点”特征。

他们利用不同平台的漏洞和规则差异来规避封禁：在严打恐怖内容的平台上转入暗语和私密群组，在管控宽松的论坛上公开传播仇恨言论；当账号被封就换马甲重来，或者干脆换一个平台另起炉灶。

更甚者，威胁者还可能借助技术工具来增强这种跨平台流动性。例如，他们使用AI变声和换脸技术来制作假音频视频，从而在平台上冒充他人发布信息或进行远程指挥 。2023年美国联邦调查局警告称，不法分子正越来越多地利用AI生成逼真的语音留言或视频来假冒熟人或权威人物，以实施诈骗和渗透 。

如果这样的技术被恐怖分子利用，他们完全可以伪装成可信任的同伴，在不同平台诱骗新人加入或传达指令而不被怀疑。

另一个值得注意的发展是自动内容生成器的滥用。一些J端分子和网络S动者可能利用类似ChatGPT的生成式AI批量撰写宣传文稿或仇恨帖子，以投放到多个社交平台上。

传统上，J端宣言和仇恨帖子常因措辞雷同、语法拙劣而被算法识别，但AI生成的内容语言流畅多变，更难以被关键字过滤拦截。

这方面虽然尚未曝出具体案例，但安全专家已提出警告：大语言模型降低了发布S动性内容的门槛，使得缺乏写作能力的J端分子也能产出“文笔漂亮”的蛊惑文章 。

有安全研究员测试了地下流传的一个AI聊天机器人“WormGPT”，让它代写一封以公司CEO名义行骗下属汇款的邮件，结果该AI生成的邮件“不仅说服力惊人，而且策略上十分狡猾” 。

如果有人利用类似工具大规模生产煽动内容在各个平台散播，现有依赖人工特征的过滤规则将更难发现异常。

多源威胁融合识别的策略

针对上述困境，美西方情报和执法机关正逐步认识到：必须打破单一平台和单一模型的局限，建立多源融合的威胁识别机制。这涉及技术和协作两个层面：

在技术上，多模型协同被提上日程

所谓多模型协同，是指结合多种人工智能算法和数据分析手段，对来自不同平台的海量数据进行综合研判。例如，可以针对文本、图像、音视频分别训练模型，再将它们的输出线索融合；或者针对不同平台特征定制检测模型，最后合并比对结果。

这样，当一个可疑人物在平台A发布文字宣泄仇恨、在平台B上传武器照片时，不同模型都能各自捕捉到异常，并在后台将这些线索关联到同一主体上。此外，升级内容检测算法以适应AI生成内容也是当务之急。

研究者建议开发能够识别AI语言痕迹的算法，检测过于“完美”或风格类似机器的帖子，从而弥补AI生成内容造成的审核盲区 。一些安全机构已开始探索利用生成式AI自身来辅助检测的思路，如让AI帮助总结嫌疑人在多平台上的言论并给出威胁评估，供人工参考决策。

在协作上，多平台信息共享和多机构联合响应成为关键

传统上，不同社交平台之间少有主动的信息联通，情报机构和企业也存在壁垒。为应对复杂威胁，各国正在建立“威胁情报融合中心”或类似机制，将执法部门、情报机关以及互联网平台纳入联动体系。

例如，美国在反恐领域早有多机构联合的反恐中心，现在类似的模式也应用于网络极端主义威胁的应对。

私营平台方面，全球互联网论坛（GIFCT）等组织推动平台间共享恐怖和极端内容的数字指纹（哈希值），一家平台查封的B恐视频哈希会传播给其他平台做拦截参考 。

技术对策之外，更需要的是“稳私框架下的强协作”：各平台在尊重用户合法隐私的前提下，与执法机关建立快速安全的信息通报渠道，一旦发现可能涉及现实危害的言论或图谋，能跨平台拼凑出线索并及时交由警方跟进。

为实现多源融合，美国等国家的情报系统正加大OSINT（开源情报）数据融合的投入。通过安全的API接口，情报人员可以将社交媒体、论坛、公开数据库等多源数据汇聚分析，从海量数据中自动提取可疑情报 。

例如，一名分析员可以使用一套系统同时监看Twitter的热门话题、Telegram的公开频道动态以及暗网论坛的帖子，当某个名字、关键词或模式在多处出现时，系统能自动关联提醒。

这样的OSINT融合平台能够加速发现威胁线索并形成统一视图，减少情报碎片散落各处的情况 。更重要的是，它还能记录完整的审计日志，确保情报搜集合法合规 。

多源威胁融合还意味着建立“网络空间的联合巡逻”。就像警务协作那样，不同平台的安全团队和国家安全部门可以举办定期交流，分享最新的威胁行为模式，并开展联合演练。

例如，模拟一个J端组织如何在几个平台上招募和策划，从中找出各节点可以监控和阻截的环节。通过这种演练，各方会更清楚彼此的能力边界和接口，从而建立起跨平台协同的工作流程。

扫码联系我们

你的手机正在出卖你：2026年OSINT情报追踪实战指南

你以为审讯靠的是威吓？错了——顶级情报官用的是”让对方自愿开口”

AI 代理化间谍行动对国家安全研究的启示：机器是否已开始承担部分谍报执行功能

以色列怎么找到哈梅内伊的？

“史诗狂怒”情报全解析，从NIC秘报到肯特辞职，情报机器在这场战争中如何运转

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：情报分析师 001 001《多模型、多平台协同下的国家安全威胁识别研究：单一平台治理为何不足》