文章总结： 本文通过从业者实战经验分享威胁情报平台搭建方法论，强调信息不等于情报、必须传递分发、避免自我工具偏好三大原则。核心建议包括选定具体问题、从二手资料深挖原始来源、利用RSS订阅获取一手情报、通过自动化流程整合元数据存储，并指出GenAI仅适合辅助摘要需人工复核。关键是将情报主动分发给利益相关者驱动行动。 综合评分： 82 文章分类： 威胁情报,安全建设,安全运营,解决方案,安全意识

自己动手搭建第一个威胁情报平台？别想太复杂，先搞定这三件事

幻泉之洲

2026年5月13日 09:03 北京

在小说阅读器读本章

去阅读

你以为威胁情报平台就是买一堆数据源堆起来？错了。一位曾经因为ADHD反复丢NIST密码文件的从业者，用一场走心分享告诉你：信息不是情报，囤积不是分析，关键是把情报真正送出去让人用起来。他给出的方法论框架，比你花50万美元买的工具更实用。

从一次尴尬的自我发现说起

演讲者开场就自曝了一段黑历史。

转行做网络安全之前，他在盐湖城一家本地IT公司干活。有个毛病——老是弄丢NIST的密码文件。下载完就找不到了，不得不一遍遍去官网重查。后来被诊断出ADHD，索性建了个文件夹，把所有PDF扔进去，像收税单的鞋盒一样“有条理”。

但问题没解决。他需要快速找到信息、为不同报告整合内容、给内部利益相关者回复——还不能把自己累死。他想要的不是一个图书馆，而他当时干的活儿恰恰就是图书馆管理员。

第一次跟老板一对一，老板说：“你知道吗，你搞出一个TIP了。”“啊？那是什么？”“威胁情报平台。”

他才知道自己“重复发明了轮子”。但他没停，因为那时候他根本不知道有现成的TIP产品，而且他有必须达成的目标。

信息不等于情报，囤积不是分析

演讲者给出了三个核心原则，他说如果这三点你都记不住，这场就白听了。

第一点：信息不等于情报。市面上有大量情报供应商给你IOC指标和数据，但不会给你上下文，不会识别与你组织真正相关的内容，更不会知道你有个莫名讨厌IBM的利益相关者。威胁情报的意义在于为组织做情境化分析，需要你的批判性思维，而不是扔给自动化。别以为把两万条数据塞进GNI就完事了——你这是在污染数据集，而且里面还有你没监控的代理。情报线索不是信息囤积。仅仅因为你下载了报告，不意味着你读懂了它。

第二点：必须传递出去。收集了却没人看，等于没做。你拿薪水不是为了当技术高手炫代码，而是依靠组织保护人。内部构造再花哨，没完成本职就没意义。

第三点：把自我留在门外。用什么工具不重要。别纠结是不是官方的CTI工具，别在意你是写代码还是用所见即所得——能把事情搞定，还能说服别人掏几百万买必须品，那才是本事。

动手搭建第一步：先选定一个具体的问题

演讲者让你先做一个小练习：选一个你想要解决的问题。为什么想做这个？对谁做？具体到某个人——可以是老板，可以是某个部门，甚至是一个你想象中的典型用户。然后想清楚：你希望收集什么类型的信息？不是所有网络安全头条，而是比如补丁信息、某个技术栈上的漏洞利用情况。最后，最终分析结果要流向哪里？谁来看？他们看了之后会采取什么行动？

他强调：你不可能面面俱到。一旦你限定谈话对象，明确选择专精领域，反而能吸引更多信服者。不要一开始就想复制Recorded Future，那太不切实际。选一件事，只做这一件，做到能交付。

他自己最大的失败就是第一次尝试时太兴奋，想用邮件列表实现五个自动化流程，结果只对自己有价值，对其他人没用，最终不了了之。所以，别只做你认为酷的东西，而是做你受众认为重要、相关、有影响力的东西。

找对来源：从二手资料深挖到原始资料

很多人问他：你平时关注些什么？他回答：往手机上发五张截图。

他的方法是从二手资料深挖到原始资料。二手资料包括所有媒体渠道、高管读的新闻头条，这些内容通常被加工成标题党，但有一定帮助。不过它们永远替代不了原始资料，而且通常延迟几天。所以你该做的是：找到它们的来源。即使没有超链接，用Google搜一下，通常能找到原始研究。然后把这个原始来源加到你的信息流里。

他每周加三到五个新的主要来源。主要来源不一定是研究人员——也可以是那些能清晰解释复杂概念的人，或者擅长筛选重要信息的人。代码仓库、安全公告列表、博客，只要是符合你需求的，都用。

判断来源是否靠谱，他给了两条规则：

• 第一，如果连你高中老师都不允许在论文里用这个来源，那你最好重新考虑，或者至少找到次要佐证。
• 第二，想想这个来源的偏见和动机是什么。为什么免费发布这些信息？每个人都有自己的动机。新闻报道想博点击，LinkedIn金主想建立权威，独立研究人员抢在补丁前公开PoC可能是为了抢头条。但理解动机不代表你就要丢弃它——只是需要结合背景解读。

RSS订阅：找到那些被隐藏的宝藏

找RSS订阅源是获取一手资料的关键手段。但很多一手资料网站偏不给你RSS——他们希望你访问网站，看他们的广告。不过RSS源通常藏在后台，只是被隐藏了。

演讲者给出了几个实用技巧：

• Google Alerts的RSS功能：设置精确的布尔搜索，免费生成RSS订阅源，接入仪表板就能用。不过会抓到超出预期的内容，需要定期检查。
• 查看网页源代码：右键点击页面，启用自动换行，按control+F4搜“RSS”或“XML”，就能找到隐藏的订阅源。注意区分博客正文源和评论源——评论源信号极低，不要订阅。
• 暴力破解：在网址后加/feed、/RSS或者博客的类别标签。比如微软的博客后面加/feed，能拿到产品更新、威胁情报等多个源。但结果很乱，是最后手段。
• 看robots.txt和sitemap：绕一大圈找到RSS路径，虽然难看但确实有效。

他提醒：这不是一劳永逸。每周至少一次检查订阅源是否还在工作，很多源会失效，需要重新订阅。

如果你找不着，还有另一种方式——借助其他工具。他提供了一些参考，但声明自己没全试过，请自行承担风险。

仪表板与自动化：让情报流动起来

有了源，就得想办法读取和筛选。他建议每天花15分钟跟进，不让信息堆积。他自己把威胁情报分成几个类别：小众媒体（研究人员、网络安全博主）、中端媒体（Hacker News、Wired）、大型媒体（华尔街日报、The Register）、新闻简报等。

自动化是关键。不是生成式AI，是自动化。他用的流程是：Feedly → Airtable（数据库）→ ChatGPT生成摘要 → 根据摘要长度自动分类 → 提取元数据（来源、日期、标签、数据敏感度等）→ 存储。

元数据很重要。要标记谁可以看什么内容，设置敏感度标签。可能你的数据其实不敏感，只是怕别人看了瞎着急。但要为自动化系统设置触发机制，确保内容流向正确。

他特意强调：不要把你花钱买的付费情报服务放进公共服务频道。他有一个朋友就因为这个被供应商罚了。

元数据怎么获取？通过HTML。网站的后端通常针对搜索引擎优化，有schema.org的标签。去研究这些标准，虽然开发者会篡改，但这是起点。

存储与元数据：别让你的数据变成垃圾

他的个人数据库用Airtable，本质上就是个高级Excel。你也可以用Azure、其他数据库平台，甚至把Excel表格当目录用。他试过文件夹方式，用了一个月就放弃了。

数据库里每条记录要有充分描述。因为生成式AI讨厌PDF（格式不佳），它喜欢纯文本。所以他把内容提取为纯文本摘要，打上标签，分割成小片段。这样即使不知道用什么纯文本关键词，也能通过标题和描述查询。

他还展示了一个真实例子：有一次他醒来看见邮箱里有一堆“RIP Striker”表情包，因为那天早上发生的攻击事件刚好跟他的姓撞上了。但生成式AI从那篇文章里提取的内容居然漏掉了“就地取材”战术等基础TTPs。所以别完全依赖Gen AI，必须人工复核。

分发才是关键：别做图书管理员

千万不能只是分享个链接就完事。你花那么多时间做出一个庞大、资源丰富的文档，结果没人读、没人行动。下一个季度又栽在同样的配置错误上。

你要设身处地为受众着想。也许这不是你的工作职责，但你的任务是保护人们安全。那就得确保那些需要决策的人能拿到关键情报。你不能只是等待被询问，要主动出击。在事情发生之前，对利益相关者进行教育，建立信任。

他自己用一套小型的表情符号代码，在Slack频道里标注新增内容：是否有相关的情报简报？有没有介绍过这种攻击手法？需要为此准备简报吗？然后用尽量精炼的格式交给新兴威胁团队。即便他个人不喜欢那种格式，但团队需要，他就照做。因为他的使命是让人们更安全，不是让自己更舒服。

分发渠道可以是邮件、Slack、博客，甚至简单到SIM卡上的IOC自动拦截。选一个能完事的方法。

Gen AI不是万能的，别指望偷懒

演讲者给Gen AI泼了一盆冷水。他说现场有Gen AI专家可能会反驳，但必须承认：

• Gen AI默认正确率低，不擅长归因，处理恶意软件差，容易产生幻觉。
• 它只会去找自己偏好的资源，有“前三分之一”问题，不会全面检索。
• 输出不稳定，同一条输入每次返回格式不一样。
• 不擅长执行多步指令，他尝试让它在输出前先运行第二个技能检查，结果45%的时间还是忘了。
• 最关键的是：它无法实现信息到情报的转化。因为真正的情报需要结合认知判断和内部专有信息，而你不会把专有数据喂给公开Gen AI。公开模型没有动机安全做事——它们被训练成快速开发、打破规则，尽可能提取每一点数据。

但Gen AI在总结长篇内容、提取摘要、生成初步框架方面还是好用的。只要你知道对照可靠来源复核，就没问题。

写在最后：动手去做，哪怕再简陋

演讲者给了一个课后练习：用同一个TLDR摘要不断运行，比较第一次和第十次的输出；试试调整“温度”参数（标准差），看输出如何变化。

他提供了一个最小可行TIP的框架：选一件事 → 找到可靠来源 → 用RSS订阅 → 筛选 → 提取关键信息 → 归档 → 自动分发。每一步都有多种实现方式，不必用和他一模一样的工具。关键是形成方法论。

最后他说：祝好运，希望你们今天交了新朋友，或者至少对初次见面的人使个眼色。欢迎自由交换信息。别担心做出来的东西不完美——他自己也是从一团乱开始的。

▲ 原文视频来源于YouTube，地址：https://www.youtube.com/watch?v=ZilC5PZG-1s

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《自己动手搭建第一个威胁情报平台？别想太复杂，先搞定这三件事》