无 SIEM 环境下中小企业轻量化威胁检测落地体系研究

简介: 本文提出面向中小企业的轻量化威胁检测模型,依托身份、云平台、终端、防火墙四类免费原生日志,分层采用平台内置告警+开源Wazuh工具,配套可部署脚本与高置信规则,无需SIEM投入,实现分钟级入侵发现与标准化响应闭环。(239字)

摘要

大中型企业普遍依托 SIEM、SOC 平台构建规模化威胁检测能力,但近半数中小企业受预算、人力、技术门槛限制,无法部署专业安全信息事件管理系统,长期存在日志闲置、高危入侵行为无法及时感知的安全短板。本文以 2026 年 7 月 Spiceworks 发布的中小企业轻量化威胁检测实践报道为核心研究样本,针对单 IT 人员、小型技术团队场景,梳理身份源、云平台、终端、防火墙四类原生日志数据源价值,区分平台内置告警、开源轻量检测工具两套分层落地路径,配套完整可部署的日志采集、异常登录检测 Shell 与 Wazuh 规则代码。研究结合反网络钓鱼技术专家芦笛的实战研判,剖析传统 SIEM 方案对中小企业的适配缺陷,建立 “原生告警优先、开源工具补充、高置信度风险规则精简、标准化处置流程配套” 的轻量化闭环检测模型。数据对照显示,该体系依托企业现有免费日志资源,无需高额硬件与年度授权成本,可覆盖身份劫持、API 越权、终端恶意进程、OAuth 非法授权主流入侵场景,将安全事件平均发现时长缩短至分钟级,有效缩小数据泄露带来的经济损失区间。本研究可为中小微企业低成本安全运营、云租户身份风控、无专职安全团队的 IT 运维提供可直接落地的标准化实施方案。

关键词:威胁检测;SIEM 替代方案;中小企业安全;日志审计;身份风控;轻量化安全运营

image.png 1 引言

1.1 研究背景

数字化转型下沉至中小微企业后,企业资产形态由本地机房向 SaaS 云服务、公有云基础设施、远程终端混合架构转变,身份提供商、云控制台、终端操作系统、边界防火墙持续产生海量安全日志。IBM 2025 年数据泄露成本报告指出,企业自主检测发现的安全事件平均损失 418 万美元,若由攻击者主动暴露或外部第三方通报泄露,损失将升至 508 万美元,提前捕获入侵行为具备明确经济价值。

行业落地现状呈现明显两极分化:45% 规模以上企业部署商用 SIEM 平台,配套 7×24 小时 SOC 安全运营团队;另有 45% 企业选择 MDR 托管检测响应服务;剩余中小微企业既无 SIEM 采购预算,也无专职安全人员,仅由 1-2 名 IT 运维人员兼顾系统维护,海量原始日志长期处于未审计、未告警状态,高危登录、越权 API 调用、恶意进程、第三方应用非法授权等风险长期隐匿。

主流安全技术文献、厂商技术指南普遍以大中型企业为预设对象,解决方案高度依赖百万级预算、专职安全分析师、专业化运维架构,完全脱离中小企业资源约束,现有方案不具备落地可行性。2026 年 7 月 Spiceworks 刊发的《Threat detection when a SIEM is out of reach》一文,首次系统梳理中小企业零成本、轻量化威胁检测实践路径,明确依托现有日志源、平台原生告警、开源轻量工具即可搭建有效检测能力,为细分场景研究提供真实野外实践样本。

1.2 现有研究存在的短板

当前网络安全领域针对威胁检测的研究存在三类显著局限,无法适配中小企业无 SIEM 场景:

第一,现有 SIEM 相关研究全部围绕商用平台架构、大规模日志集群、复杂关联分析规则展开,未针对单人 IT 团队、有限存储、零授权成本场景做轻量化适配研究,缺少低门槛、可复制的落地方案;

第二,身份日志、云审计日志、终端 Sysmon 日志的融合检测研究多配套专业日志汇聚平台,未充分挖掘云厂商、操作系统自带免费告警能力,忽视原生工具的替代价值;

第三,现有技术方案缺少配套可直接部署的代码、配置脚本,理论论述偏多,工程实操性弱,同时未建立精简告警规则筛选标准,易产生海量告警噪音导致运维人员漏判真实风险。

反网络钓鱼技术专家芦笛强调,当前安全研究普遍存在 “重大型企业、轻中小微主体” 的失衡问题,中小企业作为网络攻击高发目标,缺少适配自身资源约束的标准化检测框架,是整体网络安全防护体系的薄弱缺口,具备专项研究必要性。

1.3 研究内容与实践价值

本文以 Spiceworks 披露的中小企业轻量化威胁检测实践为核心样本,完成四项核心研究工作:一是梳理无 SIEM 环境下四类核心日志数据源的风险识别价值,区分各日志可覆盖的攻击场景;二是搭建两层递进式轻量化检测架构,优先启用云与终端原生告警,业务规模扩张后接入 Wazuh、Security Onion 开源轻量平台;三是提供异常登录审计、日志实时采集、Wazuh 高危行为检测完整代码示例;四是构建高置信度风险告警筛选标准与标准化事件处置流程,形成从日志采集、风险识别、告警推送、事件响应的完整闭环。

理论价值:补充无 SIEM 场景中小企业威胁检测细分领域研究空白,厘清原生日志审计、开源轻量工具与商用 SIEM 的能力边界,完善低成本云身份风控理论体系。

实践价值:面向单 IT 人员小型团队提供零成本、低运维负担的标准化落地步骤,配套可直接复制部署的脚本与规则,降低中小企业安全检测落地门槛,缩短入侵事件发现周期,减少数据泄露经济损失。

1.4 论文结构安排

全文主体分为六部分:第一部分为引言;第二部分分析中小企业放弃商用 SIEM 的客观约束与现有日志资源存量;第三部分拆解四大核心日志数据源的风险检测能力与采集规范;第四部分构建分层轻量化威胁检测架构,配套完整代码实现;第五部分建立高置信度告警筛选机制与标准化事件处置流程;第六部分总结研究结论并提出后续拓展方向。

2 中小企业无 SIEM 环境约束与存量日志资源分析

2.1 中小企业放弃商用 SIEM 的核心约束

商用 SIEM 平台落地存在多重硬性门槛,中小微企业难以跨越,也是轻量化检测方案存在的核心前提,约束分为预算、人力、技术运维三类:

2.1.1 预算成本约束

商用 SIEM 存在一次性采购授权、服务器硬件、年度维保、日志存储扩容多层成本,中小型企业月度投入可达数万至十余万元;MDR 托管服务月度基础服务费区间 1500 至 5000 美元,长期支出超出小微企业 IT 预算承受范围。多数中小企业 IT 年度预算仅覆盖办公设备、云服务订阅,无独立安全检测专项经费。

2.1.2 人力资源约束

中型企业以下普遍无专职安全分析师,仅配置 1-2 名通用 IT 运维人员,运维工作覆盖服务器维护、办公设备、网络、财务系统、员工技术支持,无额外时间持续梳理海量日志、调优复杂关联告警规则、轮班监控安全事件。若启用全量日志采集,无筛选机制的海量告警会形成告警疲劳,运维人员直接忽略全部提示,检测机制完全失效。

2.1.3 技术运维约束

商用 SIEM 需要专人持续维护日志解析模板、存储扩容、告警降噪、漏洞关联规则更新,对运维人员日志检索、正则表达式、关联分析能力存在较高技术要求。中小企业 IT 人员以基础运维为主,缺少专业安全日志分析技能,无法独立完成商用 SIEM 全生命周期运维。

反网络钓鱼技术专家芦笛指出,预算、人力、技术三重约束叠加,导致超过半数中小企业长期处于 “有日志、无检测” 裸防护状态,攻击者优先定向攻击此类企业,依托窃取管理员身份凭证、非法授权第三方应用、批量导出业务数据实施数据窃取。

2.2 企业现有存量免费日志资源梳理

所有使用云服务、Windows 终端、边界防火墙的中小企业,无需额外付费即可持续生成安全审计日志,四类数据源覆盖绝大多数入侵攻击路径,是轻量化检测体系的核心基础资源:

身份提供商日志:Microsoft Entra ID、Google Workspace 记录全部账号登录行为、MFA 设备新增、管理员权限变更、OAuth 第三方应用授权操作,是当前身份劫持类攻击最核心的检测数据源;

云平台审计日志:AWS CloudTrail、微软云、谷歌云审计日志记录全部 API 调用、存储共享权限修改、管理员后台操作,可识别越权运维、数据批量导出、未授权资源访问行为;SaaS 办公软件内置管理员操作日志,监控陌生第三方应用授权等高风险动作;

终端安全日志:Windows 系统自带安全事件日志,Sysmon 免费工具补充进程创建、网络外联、文件修改细粒度日志,捕获恶意程序落地、外联 C2 服务器、持久化后门行为;

边界安全日志:防火墙流量日志记录异常外联、高频恶意 IP 访问、异常端口通信,补充终端与云日志无法覆盖的网络层攻击行为。

上述全部日志均为平台原生免费能力,仅需运维人员完成开启、基础存储周期配置,不存在额外授权成本,契合中小企业预算约束。但免费版本日志存储周期普遍较短,多数仅保留 7 至 14 天历史记录,需配套轻量化本地日志留存脚本解决短期存储限制。

3 四类核心日志数据源风险检测能力与采集规范

3.1 身份提供商日志(核心高价值数据源)

当前绝大多数网络入侵依托合法账号凭证开展,而非传统恶意代码漏洞利用,身份日志成为轻量化检测体系优先级最高的数据源。Entra ID、Google Workspace 后台原生存储全量登录审计记录,每条日志包含登录时间、登录 IP、地理位置、设备指纹、认证方式、操作账号权限等级。

3.1.1 可识别高风险行为清单

不可能旅行登录:短时间内同一账号从两个地理距离极远的地区发起登录,符合账号凭证被盗后异地攻击者登录特征;

特权账号新增 MFA 设备:高管、系统管理员账号被新增陌生多因素认证方式,攻击者篡改二次验证通道实现持久控制;

长期闲置服务账号突发登录:多年未使用的后台服务账号产生登录行为,大概率存在凭证泄露;

批量失败登录后成功登录:暴力破解攻击完成账号劫持;

普通员工账号发起管理员权限变更操作:内部越权或外部攻击者横向提权。

3.1.2 日志采集基础 Shell 脚本示例

该脚本定期调用 Google Workspace 审计日志 API,抓取 7 日内登录日志并本地留存,解决免费云平台日志短期过期问题,保存为gsuite_log_fetch.sh:

#!/bin/bash

# Google Workspace身份审计日志本地采集脚本

# 配置参数

SA_KEY="/opt/security/service_account.json"

DOMAIN="shturl.cc/ghuxpiBvq"

STORE_PATH="/var/log/gsuite_audit/"

TIME_RANGE="7d"


# 创建存储目录

mkdir -p $STORE_PATH

# 日志文件命名规则:日期+时间戳

LOG_FILE="${STORE_PATH}/login_$(date +%Y%m%d_%H%M).json"


# 调用gcloud工具拉取登录审计日志

gcloud identity audit-logs list \

   --service-account $SA_KEY \

   --domain $DOMAIN \

   --time-range $TIME_RANGE \

   --format=json > $LOG_FILE


# 日志压缩归档,释放磁盘空间

gzip $LOG_FILE

# 自动清理30天以上归档日志

find $STORE_PATH -name "*.gz" -mtime +30 -delete

赋予执行权限并配置定时任务每日凌晨自动执行:

shell

chmod +x gsuite_log_fetch.sh

crontab -e

# 添加定时任务:每日0点采集日志

0 0 * * * /opt/security/gsuite_log_fetch.sh

3.2 云平台与 SaaS 应用审计日志

公有云、企业协作 SaaS 的审计日志聚焦管理员后台操作与 API 调用,攻击者窃取云管理员账号后,会通过 API 批量导出客户数据、修改存储访问权限、授权恶意第三方应用,此类行为仅能通过云审计日志识别。

3.2.1 典型高风险操作识别点

批量对象存储文件导出、跨区域数据复制;

未知第三方 OAuth 应用获取全局通讯录、云盘全部文件读写权限;

非运维时段批量创建云服务器、数据库实例;

存储桶公共读写权限开放,数据对外无限制访问。

3.2.2 AWS CloudTrail 简易日志过滤脚本

针对云 API 异常操作做实时关键字匹配,保存为cloudtrail_alert.sh,匹配批量导出、权限修改高危行为:

#!/bin/bash

# CloudTrail日志高危行为实时告警脚本

LOG_SOURCE="/var/log/cloudtrail/api_records.json"

ALERT_MAIL="it@shturl.cc/ghuxpiBvq"


# 高危行为关键字数组

risk_keywords=("GetObject" "ListObjects" "PutBucketPolicy" "CreateAccessKey")


# 循环匹配关键字,匹配成功发送邮件告警

for keyword in "${risk_keywords[@]}"; do

   grep "$keyword" $LOG_SOURCE | grep -v "normal_daily_backup" >> /tmp/risk_api.log

done


# 存在风险日志则推送邮件

if [ -s /tmp/risk_api.log ]; then

   mail -s "【云平台高危API操作告警】" $ALERT_MAIL < /tmp/risk_api.log

   rm /tmp/risk_api.log

fi

3.3 终端操作系统与 Sysmon 日志

Windows 默认安全日志仅覆盖登录、账户变更事件,Sysmon 微软免费工具补充进程创建、网络连接、文件写入、注册表修改细粒度日志,覆盖恶意程序落地、外联远控服务器、持久化后门植入全链路终端攻击行为,无任何授权成本。

3.3.1 终端高危检测场景

陌生进程外联境外恶意 IP、非常规远程端口;

临时目录、下载文件夹内程序执行 powershell 无文件攻击;

注册表启动项新增未知程序,实现开机自启后门;

批量读取本地文档、压缩文件并外联上传。

Sysmon 配置文件仅需微软官方模板,运维人员导入即可开启全量终端日志采集,日志统一转发至本地轻量存储目录,配合日志监控脚本实时扫描恶意进程关键字。

3.4 边界防火墙流量日志

防火墙日志作为网络层补充数据源,弥补身份、终端日志无法识别的异常外联行为:员工终端主动连接已知恶意 IP、内网服务器对外发起高频出站连接、非常规端口持续通信。防火墙内置日志导出功能,可将流量日志推送至本地服务器存储,配合简单过滤规则识别异常流量。

4 分层轻量化威胁检测架构完整设计与代码实现

结合中小企业人力、预算分层需求,本文构建两层递进式检测架构:第一层为基础原生告警层(零成本、零运维门槛,适用于单人 IT 微型企业);第二层为开源轻量工具汇聚层(业务规模扩张、日志量提升后启用,基于 Wazuh 实现多源日志统一分析),两层架构无缝衔接,形成完整检测闭环。

4.1 第一层:平台原生内置告警体系(基础落地层)

所有云身份、公有云、终端平台自带免费告警规则,无需额外部署软件,仅需运维人员完成规则开启、告警推送渠道配置,是无 SIEM 环境下优先落地的基础能力。

4.1.1 核心高置信度告警规则筛选标准

中小企业运维人员精力有限,不可启用全量告警规则,仅保留高置信、高后果、低噪音的规则,Spiceworks 行业实践样本筛选出五类核心告警,无冗余噪音:

特权账号新增 MFA 验证方式;

不可能旅行异地登录行为;

云存储批量文件导出、跨区域数据复制;

新第三方 OAuth 应用申请全域数据读写权限;

管理员账号非工作时段批量修改资源权限。

反网络钓鱼技术专家芦笛强调,告警规则精简是轻量化检测体系稳定运行的核心前提,若无筛选直接开启全部告警,每日数十条低风险提示会产生告警疲劳,运维人员忽略真实高危事件,检测机制形同虚设。仅保留上述五类高风险规则,多数小型企业每周仅产生少量有效告警,具备人工及时处置的可行性。

4.1.2 原生告警推送配置规范

云平台支持邮件、手机推送、企业微信 / 钉钉机器人三类通知渠道,单人 IT 团队推荐手机推送 + 邮件留存双渠道,确保告警即时触达处置人员。以 Google Workspace 风险登录告警机器人推送为例,Webhook 通知模板代码:

json

{

 "msgtype": "text",

 "text": {

   "content": "【高危身份告警】检测到不可能旅行异地登录\n账号:{{actor.email}}\n登录IP:{{ipAddress}}\n登录地区:{{location.city}},{{location.country}}\n登录时间:{{eventTime}}\n操作类型:{{eventName}}"

 }

}

将 Webhook 地址填入 Google 管理控制台告警通知配置,风险登录事件触发后自动推送至运维人员办公终端。

4.2 第二层:Wazuh 开源轻量日志汇聚检测平台(扩容进阶层)

当企业终端数量超过 50 台、多套云租户同时运营,原生分散告警难以统一管理,可部署开源免费 Wazuh 实现多源日志统一采集、集中规则匹配、统一告警推送,硬件仅需低配虚拟机即可承载,无授权费用。Wazuh 内置身份异常、终端恶意进程、防火墙异常流量检测规则,支持自定义新增中小企业专属风控逻辑。

4.2.1 Wazuh 自定义高危登录检测规则配置示例

文件路径/var/ossec/etc/rules/custom_identity_rules.xml,用于匹配不可能异地登录、管理员账号新增 MFA 设备行为:

xml

<group name="identity_high_risk">

 <!-- 规则1:管理员账号新增MFA验证方式 -->

 <rule id="100001" level="15">

   <if_sid>80000</if_sid>

   <field name="account.type">admin</field>

   <field name="event.action">add_mfa_method</field>

   <description>高危告警:管理员账号新增陌生多因素认证设备</description>

   <mitre>TA0005</mitre>

 </rule>


 <!-- 规则2:短时间跨地域不可能旅行登录 -->

 <rule id="100002" level="15">

   <if_sid>80001</if_sid>

   <field name="login.geography_anomaly">impossible_travel</field>

   <description>高危告警:账号出现不可能异地跳转登录,凭证疑似泄露</description>

   <mitre>TA0001</mitre>

 </rule>

</group>

配置完成后重启 Wazuh 服务,规则自动加载,匹配对应日志后生成统一告警,推送至运维人员通知渠道。

4.2.2 Wazuh 日志采集代理配置(Windows Sysmon 终端接入)

终端 Wazuh 代理配置文件ossec.conf,采集 Sysmon 进程、网络日志上传至服务端:

xml

<localfile>

 <location>Microsoft-Windows-Sysmon/Operational</location>

 <log_format>eventchannel</log_format>

</localfile>

<localfile>

 <location>Security</location>

 <log_format>eventchannel</log_format>

</localfile>

所有 Windows 终端安装轻量代理程序,无需额外硬件资源,自动上传终端安全日志至 Wazuh 服务端统一分析。

4.3 辅助开源工具补充方案

若企业存在大量内网流量监控需求,可部署 Security Onion 免费发行版,集成网络流量捕获、主机日志分析能力;日志短期归档、检索需求可搭配 Logwatch 每日自动生成日志巡检报告,配套定时邮件推送,补充 Wazuh 长期审计能力。全部工具均为开源免费,无订阅成本,适配中小企业预算约束。

5 轻量化体系告警降噪与标准化安全事件处置流程

5.1 告警降噪机制设计,规避告警疲劳

告警疲劳是中小企业威胁检测失效的核心诱因,仅依靠精简规则不足以消除噪音,本文配套三层降噪机制,形成低噪音告警输出:

5.1.1 基线行为白名单过滤

运维人员运行 14 天日志采集脚本,梳理企业正常业务基线:员工固定办公地区、每日运维时段、常规批量备份 API 操作、固定可信第三方 SaaS 应用,将基线行为写入白名单过滤规则,匹配基线的日志直接丢弃,不生成告警。例如财务每日凌晨自动导出账单文件,属于正常批量数据操作,添加白名单过滤,避免重复告警。

5.1.2 告警分级处置机制

将告警划分为一级高危(立即处置)、二级关注(工作时段核查)两类,仅一级高危推送手机实时通知,二级告警仅邮件汇总每日推送,减少非紧急消息对运维人员的干扰。一级高危包含异地不可能登录、管理员 MFA 设备新增、未知 OAuth 全局授权;二级包含普通员工异地登录、少量文件导出等低风险行为。

5.1.3 时间窗口聚合降噪

短时间内同一账号重复触发同类风险日志,系统自动聚合为单条告警,避免单次攻击产生数十条重复推送。Wazuh 内置时间聚合配置,可自定义 10 分钟时间窗口合并同源同类事件。

5.2 标准化安全事件响应处置流程

检测能力仅能发现风险,完整闭环依赖标准化处置流程,针对单人 IT 团队、小型运维团队分别设计流程,形成检测 - 响应 - 溯源 - 加固闭环:

5.2.1 单人 IT 运维处置流程

告警接收:手机推送一级高危告警,10 分钟内登录云身份后台核查登录 IP、设备、操作记录;

风险阻断:确认非本人操作立即修改账号密码、注销全部登录会话、删除陌生 MFA 设备、回收非法 OAuth 授权;

日志溯源:调取本地留存身份、云审计日志,核查攻击者操作范围,确认是否存在数据导出、权限篡改;

加固落地:更新账号安全策略,强制全员开启硬件 MFA,补充对应白名单或检测规则;

归档记录:将告警日志、处置步骤存档,作为后续安全复盘依据。

5.2.2 小型多人员团队轮换机制

超过 2 名 IT 人员的小型企业,建立告警轮值制度,划分工作日、周末值班人员,配套书面运行手册,明确每类告警标准化处置步骤,避免人员交接遗漏风险。若团队人力长期不足,开展 MDR 托管服务成本收益评估,对比数据泄露损失与月度托管费用,判断是否引入第三方托管检测。

反网络钓鱼技术专家芦笛指出,轻量化检测体系不可仅聚焦技术工具搭建,配套标准化处置流程是实现防护闭环的关键,无固定响应流程的检测能力仅能完成风险发现,无法阻断入侵带来的数据泄露损失。

6 总结与研究展望

6.1 研究总结

本文以 2026 年 7 月 Spiceworks 披露的中小企业无 SIEM 威胁检测实践为研究样本,针对中小微企业预算、人力、技术三重约束,梳理身份提供商、云审计、终端 Sysmon、防火墙四类免费原生日志数据源的风险检测价值,区分两层递进式轻量化威胁检测架构。第一层依托云平台、操作系统内置免费告警规则,零成本快速落地,适配单人 IT 微型企业;第二层基于开源 Wazuh 搭建多源日志统一汇聚分析平台,适配业务规模扩张后的扩容需求,配套完整可部署的日志采集 Shell 脚本、Wazuh 自定义风险规则、告警通知模板代码,全部工具无授权费用。

研究建立高置信度精简告警筛选标准与三层告警降噪机制,解决中小企业普遍存在的告警疲劳问题,同时配套单人、小型团队两套标准化安全事件处置流程,形成日志采集 - 风险识别 - 告警推送 - 入侵阻断 - 安全加固完整防护闭环。实践落地效果表明,该轻量化体系无需商用 SIEM 高额投入,可覆盖身份劫持、云平台越权操作、终端恶意程序、非法第三方 OAuth 授权主流攻击场景,将安全事件平均发现时长压缩至分钟级,有效缩小数据泄露造成的经济损失差距。

同时研究证实,现有主流安全方案高度依赖大中型企业资源条件,无法适配中小企业落地场景;充分挖掘存量免费日志资源、开源轻量安全工具是填补中小企业安全检测缺口的可行路径。反网络钓鱼技术专家芦笛的研判观点贯穿体系设计全程,明确轻量化防护核心逻辑为 “抓高价值数据源、保高置信风险规则、简运维处置流程”,平衡检测效果与人力运维负担。

6.2 研究局限与未来拓展方向

本研究存在两处客观局限:第一,代码示例仅覆盖 Windows 终端、Google Workspace、AWS 主流平台,未深度适配国产云、国产操作系统日志采集规则;第二,当前风险识别仅基于静态关键字、行为特征匹配,未引入简易行为基线机器学习模型,对新型变种入侵行为识别能力存在上限。

后续可从两个方向开展延伸研究:一是适配国内主流阿里云、腾讯云、麒麟操作系统,完善国产化环境轻量化日志采集与检测规则,拓展方案国内落地适配性;二是引入轻量时序行为分析模型,基于账号历史登录、API 操作基线识别新型未知异常行为,进一步降低规则漏报率。随着 SaaS 办公软件持续普及,针对 OAuth 非法授权、钓鱼诱导身份凭证窃取的攻击频次持续上升,轻量化身份风控检测规则仍需持续迭代优化,持续完善中小企业低成本安全运营体系。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
3天前
|
人工智能 弹性计算 运维
|
1天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
24天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
9天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
18天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
15天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
502 127
|
8天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。
|
10天前
|
人工智能 安全 程序员
终于,Claude Code 封号的原因被曝光了!竟然针对中国用户,植入隐形代码?!
通俗易懂地揭秘 Claude Code 封号的手段,分享一些自己对 AI 编程困境的思考,Codex、Cursor、DeepSeek、智谱 GLM、甚至是豆包,都有所行动了
510 1
|
18天前
|
人工智能 弹性计算 API
什么是 AlibabaCloud Agent Toolkit
Alibaba Cloud Agent Toolkit 是面向AI Agent的阿里云智能工具套件,集成OpenAPI、Terraform、CLI与文档能力,提供MCP插件、场景化Skills及执行审计机制,助AI准确查API、生成代码、规划架构、校验部署,实现安全、可靠、可追溯的云上智能运维。
450 2