作者来自 Elastic Jon Williams了解 Elastic 如何帮助金融机构优化调查工作流程发现隐藏模式并减少调查时间。总结Elastic 为金融机构提供 AI 辅助的欺诈调查能力可减少案件分流case triage时间。跨集群搜索cross-cluster search在不移动数据的情况下统一跨团队的交易、遥测和客户数据。ES|QL 和 AI agents自动化骡子账户评分mule scoring、速度分析velocity analysis以及可疑活动报告生成。Elasticsearch 的 logsdb 索引模式可将多年份监管留存的数据存储成本降低高达 60%。金融服务行业在欺诈防范方面投入巨大。该行业通过实时交易监控、行为评分以及设备指纹识别在欺诈行为到达客户之前阻止了大多数尝试。在英国仅在 2025 年上半年该行业就阻止了 8.7 亿英镑的欺诈尝试拦截了犯罪分子试图盗取的每一英镑中的 70 便士 —— 但仍有 6.29 亿英镑成功流入。该数据来自 UK Finance 的 2025 年半年欺诈报告 1代表 210 万起已确认案件需要调查、分流或报告 —— 同比增长 17%。全球情况更为严峻 Global Anti-Scam Alliance 2 估计全球每年的诈骗损失超过 1 万亿美元。防范系统正在发挥作用。如今欺诈团队面临的问题不是如何筑起更高的墙而是当有人突破防线之后会发生什么调查层 —— 将告警转化为结果的工作 —— 才是瓶颈所在。这一瓶颈的成本正在上升。英国 Payment Systems Regulator 现在要求银行在五个工作日内向 Authorised Push Payment ( APP ) 欺诈受害者进行赔付并在发送方与接收方机构之间按 50/50 分担责任 3。仅在 2025 年上半年 APP 欺诈就达到 2.575 亿英镑因此调查速度如今直接影响资产负债表。与 Elastic 缩小差距Elastic 在欺诈领域的重点是调查与分析 —— 即告警触发、客户报告损失或出现可疑模式之后所发生的工作。它作为与记录系统并行的智能系统运行在补充现有防范工具的同时提供将告警转化为结果所需的分析深度。一些领先的欺诈防范厂商已经将 Elasticsearch 作为其基础设施的一部分。对于已经在安全、可观测性或搜索中使用 Elastic 的金融机构可以将欺诈调查能力直接添加到现有部署中或通过 cross-cluster search ( CCS ) 进行连接。使用 AI 让调查实现可扩展性在单个半年内超过两百万起案件4并持续增长的情况下调查团队无法仅通过增加人力来扩展规模。AI 辅助分流改变了这一局面。当分析师接收案件时AI agent 可能已经完成以下工作将该交易与客户行为基线进行比对、对收款账户进行可疑特征评分并调出相似案例。分析师的角色从数据收集转变为判断而这正是人类专业能力价值最大的部分。Elastic Agent Builder 支持创建专用调查 agent通过将 Elasticsearch Query Language ( ES|QL ) 查询封装为工具例如骡子账户评分mule scoring、速度分析velocity analysis、分层检测layering detection以及 Confirmation of Payee 检查。agent 会根据案件上下文决定调用哪些工具并通过开放标准与任意大型语言模型LLM集成包括 vLLM、MCP 以及 agent-to-agent ( A2A ) 协议。将完整数据视图引入调查欺诈调查人员需要的不仅仅是交易记录客户档案、应用遥测数据、设备元数据、呼叫中心日志以及外部情报都具有调查价值。一笔在孤立情况下看似正常的支付如果结合登录行为、设备变更或近期客户服务通话模式可能会呈现完全不同的故事。在实践中这些数据往往未被充分利用并不是因为缺乏价值而是因为不同团队拥有不同的数据源 —— 每个数据源都受到各自访问策略与技术限制的约束。Elastic 的 cross-cluster search 能力直接解决了这一问题交易数据保留在银行集群中应用遥测数据保留在可观测性集群中调查人员可以在一次查询中跨两者进行搜索并具备完整的基于角色的访问控制role-based access controls, RBAC和审计追踪。登录模式、设备变化、会话遥测以及客户服务交互都可以与支付记录一起被检索。使用 ES|QL 灵活查询ES|QL 让调查人员能够以预定义仪表板无法支持的方式探索数据。在实时场景中它可以按速度阈值过滤交易按收款账户分组将支付时间与登录行为进行关联在数百万记录中聚合以发现异常值当与 AI agent 结合时ES|QL 查询成为驱动自动化调查的工具同时也仍然可用于分析师在仪表板中的临时探索。自动化合规与报告Workflow automation orchestrates 端到端流程从 alert 到 case 创建再到可疑活动报告生成。AI agents 可以草拟 SARs包含完整叙述与证据链。案件管理提供统一审计追踪满足 Payment Systems Regulator ( PSR ) 在五天期限内强制赔付所需要求。以可负担方式扩展Elasticsearch logsdb index mode 可将 transaction data 存储成本降低高达 60%使多年的监管留存具备经济可行性。从 online 到 searchable archive 的分层存储可自动管理超过七年或更长的数据生命周期。Elastic 每天为全球 security 用例处理数十亿 events 与 PB 级数据fraud investigation 数据量完全在其承载范围内。Elastic 欺诈调查平台从数据源到调查结果结论能够最有效管理欺诈的组织并不一定是拥有最强防护 “围墙” 的组织而是那些在围墙之后具备最快、最互联调查能力的组织。你越快理解发生了什么、找到相关案件并基于结果采取行动对受害者、合规以及整体业务表现的影响就越好。Elastic 为欺诈团队提供统一的数据平台和 AI 辅助能力使调查能够以威胁所要求的速度进行。接下来是什么在本系列博客的第二部分我们将讲解技术架构支撑该平台的数据模型、ES|QL 查询以及 cross-cluster search 配置。第三部分将详细介绍 AI agents 与工作流自动化并通过一个完整的调查案例进行说明。准备好探索 Elastic 在欺诈调查中的应用了吗你可以与我们的金融服务团队联系进行基于你自身数据的概念验证proof of concept、当前欺诈技术栈的架构评审或关于 Elastic 如何融入你欺诈路线图的战略讨论。来源UK Finance《2025 年半年欺诈报告》Global Anti-Scam Alliance《2025 全球诈骗现状报告》UK Payment Systems Regulator《APP 欺诈赔付政策2024 年 10 月》《追踪欺诈骡子账户的作用》本文章中描述的任何功能或能力的发布与时间安排均由 Elastic 自行决定。当前不可用的功能可能无法按时交付或完全不会交付。原文https://www.elastic.co/blog/rethinking-financial-crime-investigation