首页>博客>行业科普>图数据库 + Agent:让反欺诈从"被动报警"走向"主动拦截"
图数据库 + Agent:让反欺诈从"被动报警"走向"主动拦截"
某城商行的风控团队在一次例行复盘中发现了一件让人后背发凉的事:一笔半年前已经被反欺诈系统标记为"疑似"的贷款申请,最终还是放款了——因为规则没达到触发阈值,系统没有报警,审核员也没有人工复查。
半年后,这笔贷款逾期。再往前追溯,申请人和另外 17 个已确认欺诈的账户之间,存在二度到三度的设备共用关联。这条链路不是系统不知道,而是规则引擎从来没有被设计来"看见"它。
这就是当前反欺诈体系最核心的矛盾:风险是动态的、关联的、多跳的,但规则是静态的、独立的、单维的。
一、规则引擎时代的四堵墙
规则引擎在反欺诈领域统治了二十年,它的逻辑很简单:定义阈值,触发报警。这套机制在欺诈手段相对单一的年代运转良好,但今天它正在遭遇四堵绕不过去的墙:
第一堵墙:规则是公开的。 欺诈团伙对主流反欺诈系统的规则逻辑了解程度,并不亚于风控从业者。申请金额卡在阈值以下、设备不重复、关联账户保持安全间隔——这些规避动作早已标准化。规则越详细,对抗成本越低。
第二堵墙:关联是隐性的。 规则引擎能看见"这个人提交了多少次申请",但看不见"这个人和另外 30 个人用了同一个手机号段的设备,这 30 个人里有 6 个已经被判定为欺诈"。关联关系跨越了规则能触及的范围。
第三堵墙:迭代是滞后的。 发现新的欺诈模式 → 人工分析 → 编写规则 → 测试上线,这个周期最快也要一到两周。而欺诈团伙的模式迭代周期,往往以天计。
第四堵墙:策略是死的。 规则引擎的每一条策略都是静态配置,它不会在运行过程中学习,不会根据历史案件动态调整,不会在深夜某个欺诈团伙集中发力的时候提高警惕。
二、图数据库补上的那层关系
图数据库在反欺诈中最核心的价值,是让"关联"变成可计算的一等公民。
传统的反欺诈数据库里,每一个申请人是一行数据,彼此之间没有结构关系。图数据库把它重新组织成一张网:
节点类型: 申请人/用户账户、设备(手机 IMEI / 浏览器指纹)、手机号码、IP 地址、银行卡、证件号、收货地址、公司实体、担保人
边类型: 同设备登录、同手机号绑定、同 IP 申请、资金往来、担保关系、地址关联、证件关联
时序属性: 每一个关联行为都带有时间戳,支持"在特定时间窗口内的行为模式"查询
一旦这张图建立起来,原本需要多表 JOIN、跨库查询甚至人工排查才能发现的关联,变成了图数据库的基础查询:
- "这个申请人的设备在过去 30 天内和哪些已知欺诈账户有过共用关系?"
- "这笔申请背后,有没有以这个手机号为起点、三跳以内连接到欺诈黑名单的路径?"
- "这批同时提交的申请,是否在设备 - 手机号 - IP 三个维度上形成了聚合团伙的拓扑特征?"
悦数图数据库支持亿级节点和关系的存储,多跳路径查询延迟控制在百毫秒级。这意味着上述查询可以在用户提交申请的同时完成,而不是在审批完成后的事后分析阶段。
三、Agent 接入:从"图查询工具"到"主动推理系统"
图数据库让关联数据可查,但反欺诈进入"主动拦截"阶段,还需要一个能够自主推理和行动的 Agent。
传统反欺诈的工作流是线性的: 触发规则 → 产生告警 → 人工复核 → 处置决定。每一个环节都依赖人,每一步都有等待时间。
接入 Agent 之后,工作流变成闭环自驱:
- 感知层: Agent 持续监听实时事件流(申请行为、设备事件、资金流动),通过 Text2nGQL 实时向图数据库发起多跳关联查询,捕捉图谱状态变化
- 推理层: 对于每一个触发事件,Agent 结合图数据库返回的关联子图,调用大模型进行语义推理——"这个申请的关联模式,和历史欺诈案件中的团伙申请有多高的结构相似度?"
- 决策层: Agent 根据推理结果自主生成处置建议:实时拦截(高置信度团伙欺诈)/ 提升审核等级(中等风险)/ 触发人工复核(边界案例)
- 反馈层: 最终处置结果(人工确认是否欺诈)写回图谱,更新节点属性,形成 Agent 的持续学习闭环
这套流程有一个关键特征——它不等规则触发,而是主动查询关联,在欺诈行为尚未完成时就介入。
四、被动报警与主动拦截的能力对比
| 能力维度 | 传统规则引擎 | 图数据库 + Agent |
|---|---|---|
| 关联发现 | 单维度字段比对,无法感知多跳关联 | 多跳图遍历,秒级发现三度以上关联 |
| 欺诈识别速度 | 依赖规则命中,有时效性滞后 | 申请提交时实时图查询,前置拦截 |
| 团伙识别能力 | 只能识别单个账户,无法建模团伙 | Louvain 等聚类算法实时识别团伙拓扑 |
| 策略迭代周期 | 人工编写规则,1~2 周上线 | Agent 动态调整策略权重,分钟级响应 |
| 可解释性 | 只能说"命中了规则 X" | 输出完整的关联路径 + 推理依据 |
| 人工介入比例 | 高,大量疑似案件需人工复核 | 高置信度案件 Agent 自主决策,人工聚焦边界 |
| 学习与进化 | 静态,欺诈模式更新需人工维护 | 处置结果实时写回图谱,持续迭代 |
五、悦数图数据库的五项核心支撑
1.高性能实时关联查询: 反欺诈对时延极为敏感,用户申请等待时间以秒计。悦数存算分离架构在亿级数据规模下保持多跳查询的百毫秒响应,确保图查询不成为业务链路的瓶颈。
2.原生 GraphRAG 与 Text2nGQL: Agent 通过自然语言描述风险推理任务,Text2nGQL 自动将其转换为精准的 nGQL 图查询语句,返回结构化子图,大模型在此基础上生成推理结论,整个链路无需人工编写查询语句。
3.内置图算法赋能团伙识别: Louvain 社区发现、PageRank 节点重要性评分、连通分量分析、最短路径等欺诈分析核心算法,悦数全部原生内置,支持直接在图数据上调用,无需额外搭建图计算平台。
4.动态 Schema 支持欺诈模式演进: 欺诈团伙的作案工具每隔一段时间就会出新花样(从手机号到虚拟手机号,从身份证到 AI 合成证件图像)。悦数动态 Schema 支持在线添加新的节点类型和边类型,实时扩展图谱的感知维度,无需重建图。
5.Studio 可视化让审案有据可查: 对于需要进入司法程序或监管报告的高风险案件,悦数 Studio 提供完整的关联图谱可视化,清晰呈现欺诈路径和证据链,大幅提升审查效率,也为合规留存了可追溯的判断依据。
六、主动拦截体系的落地路径
构建图数据库 + Agent 反欺诈体系不是一蹴而就的工程,通常分三个阶段推进:
| 阶段 | 建设重点 | 核心目标 | 参考周期 |
|---|---|---|---|
| 第一阶段:图谱化 | 存量欺诈案件及黑名单数据入图,建立多维关联图谱 | 实现历史欺诈案件的关联回溯,验证图谱穿透效果 | 4~6 周 |
| 第二阶段:实时化 | 接入实时申请数据流,支持提交时的在线图查询 | 新案件提交时自动触发多跳关联检索,覆盖 80% 高风险场景 | 2~3 个月 |
| 第三阶段:Agent 化 | 接入大模型 Agent,实现推理自动化与策略自进化 | Agent 处理高置信度案件,人工聚焦边界灰色地带,准确率提升 ≥ 30% | 2~3 个月 |
反欺诈战争的核心从来不是"谁的规则更多",而是"谁的信息更完整、谁的推理更快"。图数据库让关联信息完整可见,Agent 让推理从人工介入变为自主运转——两者结合,才能真正实现从"出事再报警"到"事前主动拦截"的质变。
