🧠💣 LLM для кибербезопасности, который пытается рассуждать
Reasoning-модель на 8B параметров оказалась умнее гигантов
В последние два года LLM в кибербезопасности стали почти обязательным элементом стека. Они помогают разбирать отчёты, классифицировать CVE, сопоставлять индикаторы с MITRE ATT&CK, писать черновики рекомендаций.
Однако все модели в лучшем случае угадывают, а в худшем уверенно галлюцинируют 🤷♂️
Даже когда ответ формально правильный, логика рассуждений часто либо отсутствует, либо не соответствует факт-чекингу. Для ИБ это критично:
важно не просто «что», а почему именно так.
На этом фоне работа Cisco Foundation AI выглядит нетипично здравой. Ребята не стали делать ещё один instruction-tuned security-бот, а попробовали решить более фундаментальную задачу, научить модель рассуждать в контексте кибербезопасности 🛡️
Так появилась Foundation-Sec-8B-Reasoning, open-source LLM, которая сначала думает, а уже потом отвечает.
🤖 Обычные LLM плохо подходят для ИБ
Большинство security-моделей сегодня — это базовые LLM с дообучением на CVE / MITRE.
Они отлично справляются с вопросами вида:
«К какому CWE относится CVE-2023-XXXX?»
Но начинают спотыкаться, когда требуется:
🧩 многошаговый анализ
🔗 причинно-следственные связи
🧠 восстановление цепочки атаки
📌 аргументация выбора техник и контрмер
Модель может дать правильный ответ, но прийти к нему неправильным путём. К сожалению, для аналитика рассуждения выглядит убедительно и в этом скрывается опасность.
🧪 В чем отличие этой модели?
Ключевая идея Foundation-Sec-8B-Reasoning в рассуждении. Это обязательный этап мышления.
🧠 рассуждение → вывод
Обучение шло в два этапа.
🏗 Этап 1. SFT учим модель думать вслух
≈ 2 млн обучающих примеров, где:
- reasoning обязателен
- структура рассуждения строго задана
- ответ без логики считается ошибкой
Состав данных:
🔐 ~27% кибербезопасность (CVE, CWE, ATT&CK)
➗ математика
💻 код
📜 инструкции и safety
Если модель не умеет рассуждать в целом, доменные данные её не спасут.
🎯 Этап 2. RL война с фейковым reasoning
Самая интересная часть статьи - reinforcement learning.
Типичная проблема reasoning-LLM:
- модель быстро учится имитировать рассуждение
- ответ правильный, но
reasoning пустой или формальный
Чтобы это сломать этот патерн, авторы добавили:
⚠️ штрафы за пустые и повторяющиеся рассуждения
📏 контроль длины reasoning
🧱 защиту от деградации формата
Отдельно разбирается проблема длинных, но бессмысленных рассуждений. Редкий случай, когда RL описан честно, без преукрашиваний.
📊 Что получилось на выходе
Модель на скромные 8B параметров:
🚀 обгоняет Llama-3.3-70B на CTIBench-RCM
🚀 обгоняет GPT-OSS-120B на CVE → CWE
📈 стабильно лучше instruction-версий на reasoning-задачах
Кроме того модель действительно учится думать, а не воспроизводит стандартные шаблоны.
🔐 А что с безопасностью?
❌ без system-prompt есть проблемы
✅ с корректным промптом ~93% pass rate на HarmBench
🛡️ с гардрейлами ~98%
Пока такую Reasoning-модель рано пускать в прод без защитного контура. Но при дальнейшем развитии есть перспективы полной автоматизации.
📄 Статья: arXiv: 2601.21051
🤗 Модель (HF): https://huggingface.co/fdtn-ai/Foundation-Sec-8B-Reasoning
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #CyberSecurity #AIinSecurity #LLM #ReasoningAI #ThreatIntelligence #SOC #AppSec #CTI #ExplainableAI
