W kwietniu Cisco Foundation AI ogłosiło model Llama-3.1-FoundationAI-SecurityLLM-base-8B (Foundation-sec-8B), który udowodnił, że specjalistyczne modele językowe mogą przewyższać pod względem jakości i skuteczności znacznie większe modele. Model uwzględniający 8 miliardów parametrów, wytrenowany wyłącznie na danych z zakresu bezpieczeństwa, osiągnął wyniki wyższe od konkurencyjnych rozwiązań w wielu testach branżowych. Reakcja specjalistów była jednoznacznie pozytywna, lecz pojawiało się częste pytanie: Czy mogę korzystać z niego jak z ChatGPT — bez dodatkowej konfiguracji, po prostu wpisać prompt i działać?
Teraz jest to możliwe. Llama-3.1-FoundationAI-SecurityLLM-instruct-8B (Foundation-sec-8B-Instruct) od Cisco Foundation AI to model bazowy wzbogacony o strojenie pod kątem wykonywania poleceń, który działa jak natywny asystent czatu: rozumie kontekst bezpieczeństwa i reaguje na polecenia w języku naturalnym, od razu po uruchomieniu.
Architektura i funkcjonalność
Foundation-sec-8B-Instruct łączy wiedzę ekspercką z elastycznością typową dla modeli ogólnego przeznaczenia. Dzięki zastosowanemu podejściu:
- Model obsługuje naturalne polecenia, takie jak streszczenia, analiza sentymentu, generowanie tekstu czy odpowiedzi na pytania, bez konieczności dalszego treningu.
- Rozpoznaje role uczestników konwersacji, co pozwala na prowadzenie złożonych dialogów, wdrażanie podejść opartych na wyszukiwaniu danych (RAG) czy tworzenie agentów automatyzujących procesy.
- Zachowuje kompaktową architekturę, umożliwiającą uruchomienie modelu na pojedynczym GPU o dużej pamięci przy kontekście 4 tys. tokenów, z perspektywą dalszej rozbudowy.
- Jest w pełni otwartoźródłowy, dostępny na licencji umożliwiającej wdrożenia lokalne, w środowiskach odizolowanych od sieci czy na urządzeniach brzegowych, bez ryzyka uzależnienia od konkretnego dostawcy technologii.
Wyniki i przewagi technologiczne
W niezależnych testach Foundation-sec-8B-Instruct wykazuje skuteczność wyższą niż większe modele językowe, zachowując jednocześnie niewielkie wymagania sprzętowe. Utrzymuje przy tym wysoką jakość odpowiedzi w zadaniach ogólnych, takich jak testy MMLU, co umożliwia swobodne wyjaśnianie działania zagrożeń, tworzenie raportów śledczych i naturalną komunikację w środowisku pracy zespołów bezpieczeństwa. Model nie wymaga rozbudowanej infrastruktury, dzięki czemu jest dostępny także dla organizacji o ograniczonych zasobach technicznych.
Praktyczne zastosowania
W centrach operacji bezpieczeństwa (SOC) model został wykorzystany do klasyfikacji alertów, mapowania wskaźników na taktyki MITRE ATT&CK, rekonstrukcji osi czasu incydentów oraz przygotowywania raportów. Testy pilotażowe przeprowadzone m.in. w zespołach Cisco CSIRT i Cisco XDR wykazały znaczącą redukcję liczby fałszywych alarmów oraz przyspieszenie procesu triage.
Z kolei zespoły zajmujące się bezpieczeństwem aplikacji (AppSec) wykorzystały model do symulacji ścieżek ataku, tworzenia diagramów modeli zagrożeń, analizy kodu w oparciu o wytyczne OWASP oraz generowania niestandardowych scenariuszy testowych. Dzięki temu udało się przesunąć punkt ciężkości z działań reaktywnych na proaktywne planowanie i projektowanie bezpiecznych rozwiązań.
Kierunki rozwoju
Foundation-sec-8B-Instruct jest istotnym krokiem w rozwoju specjalistycznych modeli językowych, ale jego twórcy zapowiadają dalszą ewolucję. W planach znajduje się m.in.:
- rozszerzenie okna kontekstu do 16 tys. tokenów, co umożliwi obsługę kompletnych procedur bezpieczeństwa, list SBOM czy dużych zbiorów logów,
- wdrożenie interakcji w pełni strukturalnych, takich jak walidacja JSON, wywoływanie funkcji czy generacja kodu i plików binarnych,
- obsługa wejść multimodalnych, obejmujących logi, zrzuty pakietów, zrzuty ekranu i inne artefakty w jednej konwersacji,
- rozwój kolejnych wersji modelu, w tym wariantu zoptymalizowanego pod kątem rozumowania (8B) oraz modelu o wielkości 70B parametrów.
Model Foundation-sec-8B-Instruct jest już publicznie dostępny na platformie Hugging Face. Można go wdrażać lokalnie, w środowiskach chmurowych lub w sieciach odizolowanych, bez ograniczeń licencyjnych. Dokumentacja techniczna, przewodniki wdrożeniowe i przykłady zastosowań zostały opublikowane w Cisco Foundation AI Cookbook, a społeczność użytkowników jest zachęcana do współtworzenia i rozwijania ekosystemu.
Foundation-sec-8B-Instruct łączy specjalistyczną wiedzę o cyberbezpieczeństwie z funkcjonalnością modeli ogólnego przeznaczenia, oferując efektywne i skalowalne narzędzie wspierające analityków i inżynierów bezpieczeństwa. Dzięki otwartości kodu, niewielkim wymaganiom sprzętowym i wysokiej jakości odpowiedzi model ten stanowi wartościowe rozwiązanie dla organizacji poszukujących narzędzi AI wspierających ochronę systemów i aplikacji.
