Intelligence Analysis Methodology

---
name: intelligence-analysis-methodology
description: This skill should be used when extracting strategic intelligence from documents, determining what information has strategic value, and applying quality standards for intelligence extraction. Triggers on "extract intelligence", "analyze document", "strategic value", or when evaluating information significance.
---

## 战略情报判断标准

提取任何信息之前，必须通过以下标准评估：

### 五大战略价值条件

只有满足以下至少一个条件才提取信息：

1. **影响决策**：可能改变或影响战略方向、投资决策、资源分配
2. **揭示趋势**：反映行业、技术、威胁的重大变化趋势
3. **发现机会**：揭示新的市场机会、技术突破、合作可能
4. **预警风险**：提示潜在威胁、竞争风险、合规挑战
5. **关键数据**：重要的市场规模、增长率、市场份额等量化数据

### 数量与质量原则

- 情报提取数量**不设上限**，根据源文档的实际内容和情报价值决定
- **0 条情报是正常且可接受的**（内容虽多，但无战略价值则不提取）
- 每条情报必须有**独立战略价值**
- 坚持质量优先：宁缺毋滥，每条情报都应经得起"那又怎样？"的检验
- 遵循原子化原则：一个洞察点=一张情报卡片，文档有多少有价值洞察就提取多少

### 原子化情报原则

每条情报卡片必须满足原子化要求：

| 要求 | 说明 |
|------|------|
| **单一主题** | 每张卡片聚焦一个独立主题/事件/洞察 |
| **独立完整** | 卡片内容独立可读，不依赖其他卡片 |
| **领域明确** | 每张卡片有明确的主要领域归属 |
| **独立 ID** | 每张卡片有独立的 `intelligence_id` |
| **独立文件** | 每张卡片写入独立文件 |

**多情报提取示例**：

一份 Gartner 报告可能产出：
- 卡片 1：`industry-20251013-001` - 网络安全市场趋势（Industry-Analysis）
- 卡片 2：`emerging-20251013-001` - AI 安全平台兴起（Emerging-Tech）
- 卡片 3：`policy-20251013-001` - 零信任成熟度评估框架（Policy-Regulation）

每张卡片独立存放在对应领域目录下。

## 过滤规则（何时不应提取）

### 明确排除项

以下情况不予提取：

| 条件 | 原因 |
|-----------|--------|
| 不确定是否有战略价值 | 有疑问就不提取 |
| 只是普通行业新闻 | 无战略洞察 |
| 可以在别处轻易获取 | 无独特情报价值 |
| 缺乏具体数据支撑的模糊观点 | 缺乏实证支持 |
| 营销性内容 | 宣传内容，非情报 |
| 过时信息 | 对决策不再相关 |

### "那又怎样？"测试

提取前，问自己："那又怎样？这对战略规划意味着什么？"

如果答案不清晰或微不足道，则不予提取。

## 提取原则

### 提炼而非摘抄

| 错误做法 | 正确做法 |
|--------------|---------------|
| 复制整段文字 | 提炼关键事实 |
| 冗长描述 | 精炼语言 |
| 泛泛而谈 | 具体数据点 |
| 罗列多个要点 | 聚焦单一洞察 |

### 数据保留

始终保留：
- 具体数字（市场规模、增长率、金额）
- 百分比和比率
- 时间框架和截止日期
- 具名实体（公司、产品、人物）
- 日期和时间戳

### 引用管理

引用原文时：
- 用于会因改写而失去原意的关键陈述
- 包含来源位置（行号或章节名）
- 保持引用简洁（1-3 句话）
- 为引用提供上下文

## 网络安全视角

### 强制安全视角

所有情报提取必须：
1. 评估与网络安全的关联程度
2. 对非安全领域内容，主动寻找安全关联
3. 前沿技术领域特别关注 AI 技术发展
4. 重点关注：AI 安全、AI 驱动安全、AI 攻击技术

### 安全关联度评估

| 等级 | 标准 | 操作 |
|-------|----------|--------|
| 高 | 直接安全影响 | 必须提取 |
| 中 | 间接安全关联 | 考虑提取 |
| 低 | 无明确安全关联 | 通常跳过 |

### AI 安全重点领域

1. **AI 赋能安全**：新的 AI 驱动安全工具、自动化能力
2. **AI 安全**：AI 系统漏洞、模型保护
3. **AI 攻击**：对抗技术、提示注入、数据投毒
4. **AI 治理**：AI 法规、伦理框架、安全标准
5. **AI 重塑行业**：AI 技术对网络安全软件开发、架构设计、业务模式的颠覆性影响

### AI 行业重塑关注点

在前沿技术情报提取时，特别关注 AI 对传统网络安全行业的冲击：

| 关注维度 | 具体内容 |
|----------|----------|
| **开发模式** | AI 辅助代码生成、自动化测试、智能漏洞挖掘 |
| **架构演进** | AI-native 安全架构、实时自适应防护、边缘智能 |
| **产品形态** | 从工具到平台、从规则到智能、从被动到主动 |
| **商业模式** | SaaS 化、按效果付费、AI Agent 即服务 |
| **竞争格局** | 新进入者、传统厂商转型、技术壁垒变化 |

**关键问题**：这条情报是否揭示了 AI 正在改变网络安全行业的某个方面？

## 处理工作流

### 步骤 1：初步扫描
- 阅读文档结构
- 识别具有潜在战略价值的章节
- 记录关键实体（公司、技术、事件）

### 步骤 2：价值评估
- 应用五大战略标准
- 使用排除规则过滤
- 通过"那又怎样？"测试

### 步骤 3：领域分类
- 匹配到主要领域
- 如适用，识别次要领域
- 记录跨领域关联

### 步骤 4：提取
- 提炼关键事实
- 保留关键数据
- 捕获战略影响

### 步骤 5：质量检查
- 验证战略价值
- 检查数据准确性
- 确保清晰简洁

## 输出质量标准

### 必需元素

每条情报必须包含：
- 清晰的标题（简洁、信息丰富）
- 核心事实（1-3 句话）
- 战略意义
- 来源归属

### 禁止元素

不要包含：
- 无数据支撑的主观观点
- 无依据的模糊预测
- 营销性语言
- 冗余信息
- 无增量洞察的已知信息

## 去重策略

### 识别重复

检查以下维度的重复：
1. **主要实体**：同一公司、技术或威胁行为者
2. **时间框架**：同一报告周期
3. **关键事实**：相似的核心信息

### 处理重复

- 如完全相同：跳过提取，在处理日志中记录
- 如互补：合并为单条情报
- 如矛盾：提取两条并标注矛盾

## 边缘情况

### 大型文档

对于超过 10 页的文档：
1. 聚焦于执行摘要、结论、关键数据章节
2. 使用 grep 查找关键术语
3. 必要时分段处理

### 多主题文档

当文档涵盖多个不同主题时：
- 每个主题提取为独立情报项
- 分别分类到适当领域
- 记录各情报项之间的关系

### 领域不明确

当领域分类不清晰时：
- 根据主要内容选择主要领域
- 添加次要领域
- 市场相关内容默认归入 Industry-Analysis

## 相关资源

领域特定知识，参见：
- **`../cybersecurity-domain-knowledge/SKILL.md`** - 领域定义和关键词

输出模板，参见：
- **`../intelligence-output-templates/references/templates.md`** - 结构化模板