这家安全公司把调查引擎装进API，让AI直接查案

一个网络安全调查平台，今天正式把核心引擎"拆"成了可编程接口。这意味着什么？安全团队不用再守着控制台点点点，代码和AI可以直接驱动威胁狩猎、案件调查和自动修复。

事件现场：API与MCP双管齐下

Command Zero今天发布的这套工具包含两个层面：一组应用编程接口端点，以及一个模型上下文协议（MCP）服务器。

前者让安全运营团队能把调查引擎接入现有的安全编排、自动化与响应剧本，以及内部工具链。后者则把同样的API包装起来，让兼容MCP的人工智能代理可以直接查询平台、运行健康检查、分流待处理案件，甚至从聊天界面生成仪表板。

这家公司的定位是"网络调查平台提供商"。今天的发布，把原本必须通过供应商控制台完成的操作，变成了可编程的自动化流程。

四大API面：从调查到修复的全链路

具体覆盖四个核心API面。

调查端点允许团队针对任意调查模板，列出、启动、扩展、更新和检索调查。业务上下文端点则大规模从ServiceNow、持续威胁暴露管理平台、人力资源系统等来源拉取数据，省去手动录入控制台的步骤。

目录和架构端点用于查询实体类型、数据源和调查模板。修复端点则列出模板，并从外部系统执行操作。

用例层面，安全编排、自动化与响应剧本可以在告警触发瞬间启动调查。自定义威胁狩猎框架能从威胁情报生成假设，并按计划运行自主狩猎。托管安全服务提供商还能跨租户自动同步客户业务上下文。

「最优秀的安全平台，是那些团队能够在其上构建的平台，」联合创始人兼首席执行官Dov Yoran表示，「这次发布把Command Zero的调查引擎交到了客户和技术联盟伙伴手中。」

行业背景：自主安全运营中心的军备竞赛

这次发布的时机值得注意。安全供应商正在竞相为现有工具添加代理能力，同时一波新的自主安全运营中心平台正在争夺同一笔预算。

「安全领导者和架构师正处于一个架构性十字路口，」Omdia网络安全首席分析师Dave Gruber表示。他补充说，通过API和MCP开放调查能力，让客户能把自主调查编织进现有工具和工作流，而非推倒重来。

Command Zero是一家风险投资支持的初创公司，已筹集约3100万美元资金。

路线图：这只是开始

今天的发布覆盖了Command Zero认为客户开始构建所需的核心面，但公司明确表示这只是起点。

更多API端点正在规划中，形状将由核心客户和合作伙伴的反馈决定。样本集成和参考实现也将在未来几周发布。

把核心引擎API化，再套上一层MCP让AI能直接调用——这个技术路径选择，反映了当前安全行业的一个共识：未来的安全运营，人控控制台是瓶颈，代码和代理才是接口。

当调查引擎变成可调用的服务，安全团队的交付物会从"报告"变成"流水线"。但这也带来一个问题：当AI代理获得直接查案和修复的权限，责任边界和审计追踪该如何设计？Command Zero的下一步API扩展，会不会包含更细粒度的权限控制和操作归因？