该论文提出 SOCpilot 框架，旨在解决大语言模型（LLM）辅助的应急响应计划中的策略合规性问题。安全运营中心（SOC）开始使用 LLM 作为副驾驶来起草应急响应计划，但这些计划可能包含在目录中有效但违反强制性步骤、顺序要求或审批门控的策略。SOCpilot 在计划边界处使合规性可衡量：它固定了事件包、动作目录、策略规则、验证器和公共证据面，然后验证副驾驶建议的动作轨迹。在金融部门的案例研究中，使用来自匿名化生产 SOC 的 200 个真实事件，评估了两个 LLM 提供商（例如 OpenAI 和 Anthropic 的模型）。将他们的计划与来自同一 SOAR 案例的分析师撰写的参考计划进行比较。发现相同的策略内联文本使两个提供商的合规性表现相反方向变化。确定性验证器移除了 466 个不合规、需要审批的动作，且未降低基线任务召回率。在固定语料库的三次重复运行中，聚合率保持稳定。官方证据侧重于涉及恢复和遏制的审批门控决策。此外，该工件暴露了对强制性和顺序修复的零成本就绪检查。作者发布了可运行的工件，使独立评审者能够在不访问私有事件数据的情况下重新推导公开结果。论文的核心贡献包括：定义了 SOC 中 LLM 辅助应急响应计划的合规性问题；提出了 SOCpilot 框架及其实例化；通过真实世界案例研究证明了方法的有效性；并公开了可复现的工件。