Humanix 的创始人兼首席执行官 Keith Stewart （见图2）是一位拥有逾 25 年网络安全与技术管理经验的高管，长期在 Cisco、Brocade、Riverbed、vArmour 等安全与网络厂商负责产品、工程与业务拓展工作，曾多次主导从传统软件到 SaaS 的转型，以及面向大型金融、电信与企业客户的安全解决方案落地 [3]。他在 2025 年 11 月发表的署名文章《Stopping Social Engineering Attacks》中阐述了 Humanix 的创立动机：将社会工程视为与漏洞利用同等的攻击类型，用自然语言层面的检测与响应来应对针对人的攻击，而非一味要求人永远不犯错。上述背景为 Humanix 在“人因安全”这一新兴赛道的产品方向与商业化奠定了基础。

FBI IC3, 2024（FBI 互联网犯罪投诉中心发布的 《2024年互联网犯罪报告》）则从损失角度给出量级：2024 年 IC3 接报损失合计约 166 亿美元；其中商业邮件入侵（BEC）报案损失约 27.7 亿美元，技术支持类诈骗报案损失约 14.6 亿美元，二者均与社会工程密切相关 [6]。CrowdStrike《2025 全球威胁报告》进一步指出，语音类社会工程攻击同比增幅达 442%，说明攻击者正更多利用电话、语音等渠道绕过邮件与端点防护 [7]。

上述数据共同说明，社会工程已是当前最主要的入侵路径之一，而帮助台/服务台、邮件与语音等人工交互渠道仍普遍缺乏实时检测与响应能力。

这些案例深刻揭示了传统防御的盲区：社会工程攻击利用自然语言在语音等沟通渠道发生，传统产品无法“看见”对话中的操纵与冒充，单纯依靠培训也难以在高压实时通话中奏效。正是这类针对“人”的巨大风险，推动了 Humanix 确立产品方向——利用对话式 AI 在语音、视频、邮件等渠道实现对社会工程攻击的实时检测与响应，变“事后追责”为“主动防护”。

在整体架构上，Humanix 可抽象为一套面向实时交互的分层体系，涵盖数据接入、处理与分析等关键环节。接入层负责采集多渠道的人机交互数据，包括语音通话、即时通信、邮件及工单系统等（见图3），这些数据构成了“人类行为”的主要载体。与传统依赖日志或流量镜像的安全方案不同，该体系直接面向业务沟通场景，从源头获取攻击发生的上下文。

整体数据处理流程呈现出明显的流式处理特征，即对交互数据进行实时采集、解析与传递，为后续检测提供低延迟的数据支持。这种 Streaming Pipeline 架构能够满足社会工程攻击“短时触发、快速扩散”的特点，使安全系统具备及时响应能力。

从技术特征上看，该架构的关键在于多渠道统一接入、多模态数据融合以及面向实时分析的数据管道。这些能力共同构成了后续 AI 检测与响应机制的基础。

（1） 对话语义与攻击意图识别

系统基于大模型对交互内容进行上下文级分析，而非单条消息解析。其关注重点不再是“说了什么”，而是“为什么这么说”，即识别潜在的操控意图。例如，在社会工程攻击中，攻击者常通过“权威”与“紧迫性”施压来诱导目标执行敏感操作，这类特征往往隐含在语气与语境之中，而非显式关键词[12]。Humanix 通过语义建模识别冒充、欺骗、紧急请求等攻击模式，实现从表层内容检测向深层意图识别的转变[13]。

（2） 行为与关系建模

系统引入类似“Human Graph”的分析机制，对用户及其交互关系进行建模。该模型不仅刻画用户的角色与权限，还关注其在组织中的交互网络及行为习惯，从而建立行为基线。当出现异常交互模式时（如跨部门异常请求、非典型操作路径等），系统能够识别潜在风险。这种方法相比传统 UEBA，更强调“人与人之间的关系”以及交互语境，避免了单一账户行为分析的局限性[11]。

（3） 多模型融合机制

Humanix 将不同类型的模型能力进行组合：大模型负责语义理解与上下文分析，分类模型用于识别具体攻击类型，行为模型用于检测异常模式，而策略规则引擎则提供辅助决策能力。这种多模型协同方式能够在复杂场景中提升检测准确性，并增强结果的可解释性。例如，在识别“伪装请求”或“前置侦察行为”时，系统需要同时考虑语义特征、历史行为以及跨渠道关联信息[14]。

总体来看，该检测引擎的核心优势在于：通过多模态语义分析、行为建模与模型融合，实现对复杂社会工程攻击的识别能力。这种能力使系统能够在攻击尚未造成实际影响前，识别其潜在风险。

（1） 实时检测与响应机制

系统基于流式数据处理实现低延迟风险识别，并结合多源信号进行关联分析。这些信号不仅包括对话语义分析结果，还包括跨渠道交互行为以及认证、访问等系统事件，从而形成更全面的风险判断依据[11]。在此基础上，系统能够进行流程内干预，例如在敏感操作执行前提示用户、触发二次核验或升级验证流程，从而阻断潜在攻击路径。

（2） 闭环体系设计

Humanix 将安全能力归纳为“Detection → Response → Assure”三个阶段：检测阶段负责识别社会工程攻击行为；响应阶段通过实时干预与流程编排降低风险；审计阶段则对事件进行记录与分析，为合规与安全运营提供依据。这种闭环设计使系统不仅具备检测能力，还能够提供可验证的安全保障[9]。

（3） 平台集成能力

Humanix 采用 API-first 架构，支持与企业现有安全体系进行深度融合，包括 SIEM、SOAR、IAM 以及工单系统等。通过跨系统数据关联，平台能够将对话层面的风险与账户行为、访问控制及业务操作进行统一分析，从而识别更复杂的攻击链。例如，通过关联侦察行为与后续认证事件，可以提前发现攻击准备阶段并进行前置处置[14]。

（4） 可观测性与治理能力

系统提供风险态势展示、行为分析与审计报告等功能，支持安全团队进行持续运营。同时，通过对策略违规行为进行上下文化分析，系统能够区分“正常业务变通”与“潜在攻击行为”，减少误报带来的干扰，提高安全运营效率[13]。

综上所述，Humanix 的核心优势在于：将安全能力直接嵌入业务流程，实现实时干预而非事后告警；通过跨系统集成构建统一安全视图；并提供可审计、可运营的安全闭环，使其能够在复杂企业环境中更有效地应对以人为目标的攻击威胁。

针对上述结构性缺陷，Humanix 提出并构建了一套以“人类交互”为核心的数据驱动安全体系，实现了网络安全防御范式的重要创新。该方案突破了传统安全产品仅关注系统层面的局限，将防护边界延伸至人类行为层面，填补了认知域安全防护的理论与实践空白。在技术实现上，Humanix 利用多模态数据处理技术，融合语音、文本及行为日志等多源异构数据，依托先进的AI检测引擎进行跨渠道数据关联分析与深度语义理解。这种基于多模型融合的分析机制，赋予了系统识别隐蔽性社会工程攻击的能力，从而实现了从“被动响应”向“前置识别与实时干预”的转变。其开创性在于将安全防御的颗粒度细化至交互过程，有效弥补了企业在人员安全防护环节的短板，构建了更为立体、主动的纵深防御体系。

随着生成式AI技术的普及，社会工程攻击正呈现出高度自动化、个性化及难以辨识的演进态势，传统的规则式防御将面临失效风险。Humanix 所倡导的“以人为中心”的智能防御理念，代表了未来安全体系演进的关键方向。