Я нашел Sec-Gemini 3 от Google: ИБ-модель уже расследует Log4Shell по логам

от автора

Разобрал свежий репозиторий google/sec-gemini, официальный сайт, документацию и короткое демо Sec-Gemini 3. По описанию это эксперементальная платформа с сильным кибербез AI фокусом от Google, но внутри уже видно не «чат по CVE», а платформа для ИБ-задач: расследования, анализ логов, пентест, ревью кода, генерация отчетов.

Коротко, что я вытащил из источников:

  • есть Python SDK, TypeScript SDK, CLI и web component;

  • доступ к платформе идет через API key для «доверенных», а по факту пользователи, которых они сами заинвайтили;

  • можно подключать свои локальные инструменты через BYOT;

  • сценарии в демо: DFIR, пентест, ASM, анализ малвари, ревью кода.

Самый цепляющий кусок — ретроспективное DFIR-расследование старого Log4Shell-инцидента. В демо Sec-Gemini дают 7 разных источников логов, больше 650k записей и почти никакого контекста. Модель сама восстанавливает таймлайн компрометации, находит Log4Shell как вектор входа, замечает закрепление через cron каждые 5 минут и раскладывает активность по MITRE ATT&CK.

Заявленный результат в ролике: те же выводы, что у ручной forensic-команды, за 12 минут 34 секунды и примерно $1.50 compute cost. Это не независимая проверка, а демо от авторов, но цифры все равно хорошо показывают направление: ИБ-расследование превращают в длинный проверяемый процесс с логами, гипотезами, промежуточными фактами и финальным отчетом.

Есть и острый риск. В документации BYOT прямо сказано: baseline tools могут читать и писать файлы, запускать shell, Python/JS и делать сетевые запросы с правами текущего пользователя. Без отдельного sandbox. Поэтому такое надо трогать в VM, контейнере или disposable cloud instance, а не на рабочей машине с ключами и корпоративными данными.

Я продолжу разбирать такие AI/ИБ-находки, репозитории и демо у себя в Telegram: @poxek_ai

ссылка на оригинал статьи https://habr.com/ru/articles/1054624/