Я нашел Sec-Gemini 3 от Google: ИБ-модель уже расследует Log4Shell по логам. ai.. ai. cybersecurity.. ai. cybersecurity. dfir.. ai. cybersecurity. dfir. google.. ai. cybersecurity. dfir. google. llm.. ai. cybersecurity. dfir. google. llm. log4shell.. ai. cybersecurity. dfir. google. llm. log4shell. pentest.. ai. cybersecurity. dfir. google. llm. log4shell. pentest. sec-gemini.. ai. cybersecurity. dfir. google. llm. log4shell. pentest. sec-gemini. Информационная безопасность.. ai. cybersecurity. dfir. google. llm. log4shell. pentest. sec-gemini. Информационная безопасность. искусственный интеллект.. ai. cybersecurity. dfir. google. llm. log4shell. pentest. sec-gemini. Информационная безопасность. искусственный интеллект. Машинное обучение.

Разобрал свежий репозиторий google/sec-gemini, официальный сайт, документацию и короткое демо Sec-Gemini 3. По описанию это эксперементальная платформа с сильным кибербез AI фокусом от Google, но внутри уже видно не “чат по CVE”, а платформа для ИБ-задач: расследования, анализ логов, пентест, ревью кода, генерация отчетов.

Коротко, что я вытащил из источников:

  • есть Python SDK, TypeScript SDK, CLI и web component;

  • доступ к платформе идет через API key для “доверенных”, а по факту пользователи, которых они сами заинвайтили;

  • можно подключать свои локальные инструменты через BYOT;

  • сценарии в демо: DFIR, пентест, ASM, анализ малвари, ревью кода.

Самый цепляющий кусок — ретроспективное DFIR-расследование старого Log4Shell-инцидента. В демо Sec-Gemini дают 7 разных источников логов, больше 650k записей и почти никакого контекста. Модель сама восстанавливает таймлайн компрометации, находит Log4Shell как вектор входа, замечает закрепление через cron каждые 5 минут и раскладывает активность по MITRE ATT&CK.

Заявленный результат в ролике: те же выводы, что у ручной forensic-команды, за 12 минут 34 секунды и примерно $1.50 compute cost. Это не независимая проверка, а демо от авторов, но цифры все равно хорошо показывают направление: ИБ-расследование превращают в длинный проверяемый процесс с логами, гипотезами, промежуточными фактами и финальным отчетом.

Есть и острый риск. В документации BYOT прямо сказано: baseline tools могут читать и писать файлы, запускать shell, Python/JS и делать сетевые запросы с правами текущего пользователя. Без отдельного sandbox. Поэтому такое надо трогать в VM, контейнере или disposable cloud instance, а не на рабочей машине с ключами и корпоративными данными.

Я продолжу разбирать такие AI/ИБ-находки, репозитории и демо у себя в Telegram: @poxek_ai

Автор: srzybnev

Источник