Коли ІІ стає щитом: що LLMs змінюють конкретно в кібербезпеці

Великі мовні моделі (LLMs) поступово утверджуються у всіх секторах, включаючи сферу, що має високу стратегічну значимість, кібербезпеку. Але що вони дійсно змінюють? Міждисциплінарне дослідження, проведене дослідниками з Нью-Йоркського університету, дає точну та амбіційну оцінку цього зближення і пропонує конкретний план дій. Розбір.

Моделі, здатні передбачати, аналізувати та діяти

Перший внесок LLMs у кібербезпеку є очевидним: вони дозволяють використовувати у великому масштабі масиви текстів, які до цього були мало використані, як-от звіти про інциденти, потоки розвідувальної інформації про загрози (CTI) або системні журнали. Результат: більш швидке виявлення вразливостей, атак та підозрілої поведінки, з можливістю генерувати резюме, класифікувати інциденти або пропонувати дії.

LLMs також можуть бути спеціалізовані: моделі, такі як SecureBERT, натреновані на корпусах кібербезпеки, пропонують набагато кращі результати, ніж загальні моделі. Однак їх потрібно правильно уточнювати, з добре розробленими запитами та релевантними даними – навичка, яка ще рідко зустрічається в компаніях.

Кібербезпека мереж 5G: ІІ на допомогу

Звіт також підкреслює інтерес LLMs для тестування безпеки мереж 5G, які часто недостатньо захищені на стадії до шифрування. Існують два підходи:

• Top-down: вилучення правил з тисяч сторінок технічних специфікацій.

• Bottom-up: прямий аналіз трафіку для виявлення аномалій.

В обох випадках LLMs дозволяють автоматизувати генерацію тестових випадків, моделювати атаки за допомогою fuzzing та виявляти вразливості, які важко виявити вручну.

До нового покоління автономних агентів кібербезпеки

Дослідження наголошує на появі агентів "на базі LLM", здатних не лише аналізувати загрози, але й міркувати, планувати та взаємодіяти зі своїм оточенням. Завдяки технікам, таким як Retrieval-Augmented Generation (RAG) або Graph-RAG, ці агенти можуть поєднувати кілька джерел для створення складних і контекстуальних відповідей.

Ще краще: організовуючи цих агентів у системи багатоагентів (або за допомогою мета-агентів), стає можливим покрити весь цикл реагування на атаку: виявлення, аналіз, реакція, виправлення.

Навчання, моделювання, захист: педагогічні застосування уточнюються

Інше помітне нововведення стосується використання LLMs у навчанні кібербезпеці. Вже проведено експериментальні курси: вони включають узагальнення коду, виявлення вразливостей, розвідку загроз або ж соціальну інженерію за допомогою ІІ. Випливає шість ключових уроків: креативність, портативність, скептицизм, гнучкість, безпека та вартість.

Між автоматизацією та людською пильністю

Але будьте обережні: LLMs не є панацеєю. Їхня відсутність послідовності, схильність до галюцинацій, статистичні упередження, а також вразливість до атак "jailbreak" (обхід захисних механізмів) вимагають надійних захисних механізмів.

Звіт рекомендує гібридний підхід: поєднувати LLMs з людьми в процесі, множити перевірки, спеціалізувати моделі, а не прагнути до універсальної моделі, і вводити надійні механізми контролю та аудиту (блокчейн, метрики довіри тощо).

До надійної ІІ в кібербезпеці

Дослідники наголошують на трьох стовпах для побудови надійної ІІ:

1. Інтерпретованість: рішення моделей повинні бути зрозумілими.

2. Міцність: вони повинні протистояти змінам і атакам супротивників.

3. Справедливість: уникати упереджень, особливо в чутливих сферах, таких як юстиція або фінанси.

Їхня мета: зробити так, щоб ІІ не була новою загрозою, а стала стійким активом для підвищення стійкості організацій проти дедалі складніших загроз.

Посилання на дослідження: arXiv:2505.00841v1