Разобрал свежий репозиторий google/sec-gemini, официальный сайт, документацию и короткое демо Sec-Gemini 3. По описанию это эксперементальная платформа с сильным кибербез AI фокусом от Google, но внутри уже видно не «чат по CVE», а платформа для ИБ-задач: расследования, анализ логов, пентест, ревью кода, генерация отчетов.
Коротко, что я вытащил из источников:
-
есть Python SDK, TypeScript SDK, CLI и web component;
-
доступ к платформе идет через API key для «доверенных», а по факту пользователи, которых они сами заинвайтили;
-
можно подключать свои локальные инструменты через BYOT;
-
сценарии в демо: DFIR, пентест, ASM, анализ малвари, ревью кода.
Самый цепляющий кусок — ретроспективное DFIR-расследование старого Log4Shell-инцидента. В демо Sec-Gemini дают 7 разных источников логов, больше 650k записей и почти никакого контекста. Модель сама восстанавливает таймлайн компрометации, находит Log4Shell как вектор входа, замечает закрепление через cron каждые 5 минут и раскладывает активность по MITRE ATT&CK.
Заявленный результат в ролике: те же выводы, что у ручной forensic-команды, за 12 минут 34 секунды и примерно $1.50 compute cost. Это не независимая проверка, а демо от авторов, но цифры все равно хорошо показывают направление: ИБ-расследование превращают в длинный проверяемый процесс с логами, гипотезами, промежуточными фактами и финальным отчетом.
Есть и острый риск. В документации BYOT прямо сказано: baseline tools могут читать и писать файлы, запускать shell, Python/JS и делать сетевые запросы с правами текущего пользователя. Без отдельного sandbox. Поэтому такое надо трогать в VM, контейнере или disposable cloud instance, а не на рабочей машине с ключами и корпоративными данными.
Я продолжу разбирать такие AI/ИБ-находки, репозитории и демо у себя в Telegram: @poxek_ai
ссылка на оригинал статьи https://habr.com/ru/articles/1054624/