Google công bố Sec-Gemini v1, mô hình AI an ninh mạng thử nghiệm

 (security.googleblog.com)
1 điểm bởi GN⁺ 2025-04-06 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tập trung vào việc khuếch đại năng lực của các chuyên gia an ninh mạng để củng cố vị thế của bên phòng thủ
  • Kẻ tấn công chỉ cần tìm ra một lỗ hổng duy nhất, trong khi bên phòng thủ phải chuẩn bị cho mọi mối đe dọa, nên mô hình này hướng tới giải quyết sự bất đối xứng với lợi thế nghiêng về phía kẻ tấn công
  • Quy trình an ninh mạng dựa trên AI có thể giúp khôi phục thế cân bằng theo hướng có lợi cho bên phòng thủ

Tính năng và hiệu năng chính

  • Kết hợp năng lực suy luận nâng cao của mô hình Gemini với kiến thức và công cụ bảo mật mới nhất
  • Thể hiện hiệu năng nổi bật trong các tác vụ an ninh mạng chủ chốt
    • Phân tích nguyên nhân gốc rễ của sự cố
    • Phân tích mối đe dọa
    • Đánh giá tác động của lỗ hổng
  • Được tích hợp với Google Threat Intelligence (GTI), dữ liệu OSV và các nguồn thông tin bảo mật cốt lõi khác

Kết quả benchmark

  • Trên benchmark tình báo mối đe dọa CTI-MCQ, đạt hiệu năng vượt trội ít nhất 11% so với các mô hình khác
  • Trên benchmark CTI-RCM (ánh xạ nguyên nhân gốc rễ) cũng ghi nhận độ chính xác cải thiện hơn 10,5%
    • Phân tích và phân loại chính xác nguyên nhân gốc rễ của lỗ hổng dựa trên hệ thống phân loại CWE

Ví dụ phân tích mối đe dọa: Salt Typhoon

  • Sec-Gemini v1 nhận diện Salt Typhoon là một tác nhân đe dọa và cung cấp mô tả chi tiết
    • Điều này có được nhờ tích hợp với dữ liệu Mandiant Threat Intelligence
  • Khi được hỏi về Salt Typhoon, mô hình cung cấp thông tin cụ thể về các lỗ hổng mà tác nhân đe dọa này đã khai thác
    • Bổ sung ngữ cảnh cho kết quả phân tích dựa trên dữ liệu OSVMandiant intelligence
    • Nhờ đó, nhà phân tích có thể nhanh chóng nắm được mối liên hệ giữa mối đe dọa và lỗ hổng cùng mức độ rủi ro

Ứng dụng và triển khai

  • Được cung cấp miễn phí cho một số tổ chức, cơ quan, chuyên gia bảo mật và NGO được chọn, chỉ phục vụ mục đích nghiên cứu
  • Google muốn cùng cộng đồng bảo mật hợp tác để vượt qua giới hạn của năng lực bảo mật dựa trên AI

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-04-06
Ý kiến trên Hacker News

  • Mô hình Gemini mang lại cảm giác hơi khác so với Claude, ChatGPT và Mistral

    • Có cảm giác như đang trò chuyện với một mô hình tập trung vào các tác vụ kỹ thuật
    • Có sự nghiêm túc, không theo đuổi yếu tố hài hước hay màu mè
    • Có thể là vì chỉ tương tác với Gemini thông qua AI Studio
    • Lý do không dùng gemini.google.com rất đơn giản: không có tính năng xuất nội dung cơ bản
    • Tính năng lưu vào Google Drive của AI Studio rất hữu ích
    • Mong gemini.google.com cung cấp tính năng "Lưu dưới dạng Markdown"

  • Khi được hỏi về lỗ hổng trong phần mô tả Salt Typhoon, Sec-Gemini v1 không chỉ cung cấp chi tiết lỗ hổng mà còn đưa ra bối cảnh về tác nhân đe dọa

    • Giải thích lỗ hổng bằng dữ liệu OSV và dữ liệu Mandiant
    • Vẫn còn hoài nghi về LLM, nhưng sự phát triển của OSV là tín hiệu tích cực

  • Thật ngạc nhiên khi Google không rà soát cẩn thận các câu trả lời của AI

    • Trong câu trả lời cho CVE-2024-3400 có nhắc rằng thiết bị Hitachi dễ bị tổn thương, nhưng thực tế thì không
    • CVE đó không có trong danh sách lỗ hổng của Hitachi
    • Cũng không có đề cập nào rằng tính năng "portal" có lỗ hổng

  • Có câu hỏi rằng đây là mô hình thực hiện công việc bảo mật, hay là một hệ thống dùng tra cứu dữ liệu và công cụ

    • Xét theo phần mô tả tích hợp dữ liệu thì khả năng cao là vế sau
    • Sự khác biệt giữa một mô hình được tinh chỉnh cho bảo mật và một ứng dụng LLM bảo mật dựng sẵn là rất quan trọng

  • Sự xuất hiện của các mô hình chuyên biệt rất thú vị

    • Tương tự như con người đã qua đào tạo

  • Luôn có sự băn khoăn về LLM và các tác vụ phân tích

    • Khi đánh giá rủi ro và tác động của lỗ hổng hoặc phân tích mã độc phức tạp, cần rà soát kỹ các điểm dữ liệu
    • LLM có thể giúp được rất nhiều, nhưng cần xem xét lại lập luận của chúng
    • Con người cũng vậy, cũng phải đưa ra căn cứ cho kết luận

  • Công việc bảo mật tốc độ cao dùng hệ thống AI là cần thiết nhưng chưa đủ

    • Kẻ tấn công cũng sẽ dùng hệ thống AI, nên bên phòng thủ cũng phải theo kịp
    • Cần xây dựng các hệ thống an toàn hơn

  • Có thể tốt cho việc hỗ trợ công việc của các chuyên gia an ninh mạng

    • Tuy nhiên có lo ngại nó sẽ bị dùng như một công cụ để chuyển trách nhiệm

  • Có thể là một ý tưởng tồi khi tin cậy vào thứ chỉ đúng theo xác suất trong lĩnh vực bảo mật

  • Có thể có liên quan đến thương vụ mua lại Wiz