IBM представила компактные LLM CyberPal 2.0 для анализа киберугроз — эффективность выше, чем у крупных моделей
IBM Research выпустила семейство компактных языковых моделей CyberPal 2.0 размером от 4 до 20 млрд параметров, оптимизированных для задач кибербезопасности. Модели превосходят более крупные аналоги по точности при анализе инцидентов и используют в три раза меньше вычислительных ресурсов.
IBM Research представила новое поколение специализированных языковых моделей — CyberPal 2.0 — разработанных исключительно для решения задач в области информационной безопасности. Семейство включает модели с числом параметров от 4 до 20 миллиардов, что значительно меньше, чем у общих LLM (30–70 млрд), но позволяет достигать более высокой точности в узких функциях: анализе логов, интерпретации инцидентов, выявлении уязвимостей и формировании рекомендаций по реагированию.
Ключевой фактор эффективности — не размер модели, а её архитектура и обучающий датасет SecKnowledge 2.0, включающий экспертно размеченные данные:
— отчёты о киберинцидентах;
— технические публикации по уязвимостям;
— объяснения экспертов с доказательной базой;
— сценарии атак, подтверждённые расследованиями SOC-центров.
Благодаря такому подходу CyberPal 2.0 демонстрирует на 7–14% более высокие результаты в тестах анализа причин взломов, выявления слабых мест в конфигурациях и корреляции событий, чем более крупные модели, не ориентированные на безопасность. При этом потребление вычислительных ресурсов снижено втрое — что делает решение пригодным для развёртывания в защищённых сетях без доступа к облачным GPU-кластерам.
Модели способны строить логические цепочки: не просто находить совпадения по ключевым словам, а восстанавливать последовательность действий злоумышленника, выявлять первичную точку входа, этапы перемещения по сети и методы маскировки. Это особенно полезно для аналитиков SOC-центров, пентестеров и команд реагирования на инциденты, где скорость и точность вывода напрямую влияют на время с containment’а и минимизацию ущерба.
CyberPal 2.0 не требует постоянного подключения к интернету — может работать в изолированных средах, включая закрытые промышленные сети и системы госсектора. Все данные остаются внутри инфраструктуры клиента, что соответствует требованиям ФСТЭК, ФЗ-152 и стандартам управления рисками.
В планах IBM — интеграция CyberPal 2.0 в платформу QRadar AI, создавая единую систему, способную не только детектировать аномалии, но и предсказывать сценарии атак на основе исторических данных и внешних индикаторов угроз. Это позволит переходить от реактивного мониторинга к проактивному управлению рисками.
Решение ориентировано на автоматизацию рутинных процессов: генерация отчётов, классификация инцидентов, написание playbooks, сопоставление IOCs с внутренним трафиком. Это снижает нагрузку на аналитиков и сокращает среднее время обработки инцидента на 30–50%.
CyberPal 2.0 — пример перехода от «больших моделей» к «умным». Вместо масштаба — фокус на релевантность, вместо универсальности — специализация. Для рынка ИБ это означает возможность внедрять ИИ-аналитику даже в условиях ограниченных ресурсов, не жертвуя качеством.
— отчёты о киберинцидентах;
— технические публикации по уязвимостям;
— объяснения экспертов с доказательной базой;
— сценарии атак, подтверждённые расследованиями SOC-центров.
Благодаря такому подходу CyberPal 2.0 демонстрирует на 7–14% более высокие результаты в тестах анализа причин взломов, выявления слабых мест в конфигурациях и корреляции событий, чем более крупные модели, не ориентированные на безопасность. При этом потребление вычислительных ресурсов снижено втрое — что делает решение пригодным для развёртывания в защищённых сетях без доступа к облачным GPU-кластерам.
Модели способны строить логические цепочки: не просто находить совпадения по ключевым словам, а восстанавливать последовательность действий злоумышленника, выявлять первичную точку входа, этапы перемещения по сети и методы маскировки. Это особенно полезно для аналитиков SOC-центров, пентестеров и команд реагирования на инциденты, где скорость и точность вывода напрямую влияют на время с containment’а и минимизацию ущерба.
CyberPal 2.0 не требует постоянного подключения к интернету — может работать в изолированных средах, включая закрытые промышленные сети и системы госсектора. Все данные остаются внутри инфраструктуры клиента, что соответствует требованиям ФСТЭК, ФЗ-152 и стандартам управления рисками.
В планах IBM — интеграция CyberPal 2.0 в платформу QRadar AI, создавая единую систему, способную не только детектировать аномалии, но и предсказывать сценарии атак на основе исторических данных и внешних индикаторов угроз. Это позволит переходить от реактивного мониторинга к проактивному управлению рисками.
Решение ориентировано на автоматизацию рутинных процессов: генерация отчётов, классификация инцидентов, написание playbooks, сопоставление IOCs с внутренним трафиком. Это снижает нагрузку на аналитиков и сокращает среднее время обработки инцидента на 30–50%.
CyberPal 2.0 — пример перехода от «больших моделей» к «умным». Вместо масштаба — фокус на релевантность, вместо универсальности — специализация. Для рынка ИБ это означает возможность внедрять ИИ-аналитику даже в условиях ограниченных ресурсов, не жертвуя качеством.
© 22.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025