Google annonce Sec-Gemini v1, un modèle d’IA expérimental pour la cybersécurité

 (security.googleblog.com)
1 points par GN⁺ 2025-04-06 | 1 commentaires | Partager sur WhatsApp
  • Vise à amplifier les capacités des experts en cybersécurité afin de renforcer la position des défenseurs
  • Cherche à résoudre l’asymétrie à l’avantage des attaquants, où il suffit aux attaquants de trouver une seule vulnérabilité tandis que les défenseurs doivent se préparer à toutes les menaces
  • Les workflows de cybersécurité fondés sur l’IA peuvent aider les défenseurs à rétablir un équilibre plus favorable

Fonctionnalités principales et performances

  • Combine les capacités avancées de raisonnement du modèle Gemini avec des connaissances et des outils de sécurité à jour
  • Affiche d’excellentes performances sur des tâches majeures de cybersécurité
    • Analyse des causes racines des incidents
    • Analyse des menaces
    • Évaluation de l’impact des vulnérabilités
  • Intégré avec Google Threat Intelligence (GTI), les données OSV et d’autres informations de sécurité essentielles

Résultats des benchmarks

  • Sur le benchmark de threat intelligence CTI-MCQ, il obtient des performances supérieures d’au moins 11 % à celles des autres modèles
  • Sur le benchmark CTI-RCM (cartographie des causes racines), il enregistre également une amélioration de précision de plus de 10,5 %
    • Analyse et classe avec précision les causes racines des vulnérabilités selon la taxonomie CWE

Exemple d’analyse de menace : Salt Typhoon

  • Sec-Gemini v1 identifie Salt Typhoon comme un acteur de menace et fournit une explication détaillée
    • Cela est possible grâce à son intégration avec les données de Mandiant Threat Intelligence
  • Pour les questions liées à Salt Typhoon, il fournit des informations précises sur les vulnérabilités exploitées par cet acteur de menace
    • Les résultats d’analyse sont enrichis de contexte à partir des données OSV et de Mandiant Intelligence
    • Cela permet aux analystes d’identifier plus rapidement les liens entre menaces et vulnérabilités ainsi que le niveau de risque

Utilisation et déploiement

  • Fourni gratuitement, à des fins de recherche uniquement, à des organisations, institutions, experts en sécurité et ONG sélectionnés
  • Google cherche à repousser les limites des capacités de sécurité fondées sur l’IA grâce à la collaboration avec la communauté de la sécurité

À lire aussi

1 commentaires

 
GN⁺ 2025-04-06
Avis Hacker News

  • Le modèle Gemini donne une impression légèrement différente de Claude, ChatGPT et Mistral

    • On a l'impression d'échanger avec un modèle axé sur les tâches d'ingénierie
    • Il y a un sérieux qui ne cherche ni l'humour ni le style
    • C'est peut-être aussi parce qu'on n'interagit avec Gemini que via AI Studio
    • Si je n'utilise pas gemini.google.com, c'est simplement parce qu'il n'y a pas de fonction d'export basique
    • La fonction d'enregistrement sur Google Drive d'AI Studio est très utile
    • J'aimerais que gemini.google.com propose une fonction « enregistrer en Markdown »

  • À une question sur la vulnérabilité décrite dans l'explication de Salt Typhoon, Sec-Gemini v1 fournit non seulement des détails sur la vulnérabilité, mais aussi du contexte sur l'acteur de la menace

    • Il explique la vulnérabilité à l'aide des données OSV et des données Mandiant
    • Je reste sceptique à propos des LLM, mais les progrès d'OSV sont positifs

  • Il est surprenant que Google n'examine pas plus attentivement les réponses de l'IA

    • Dans une question sur CVE-2024-3400, il est mentionné que des appareils Hitachi sont vulnérables, alors qu'en réalité ils ne le sont pas
    • Cette CVE n'apparaît pas dans la liste des vulnérabilités d'Hitachi
    • Il n'est pas non plus indiqué que la fonctionnalité « portail » est vulnérable

  • Certains se demandent s'il s'agit d'un modèle qui effectue un travail de sécurité, ou d'un système qui consulte des données et utilise des outils

    • Au vu de l'explication sur l'intégration des données, il est plus probable que ce soit le second cas
    • La différence entre un modèle spécialisé en sécurité et une application LLM de sécurité préconstruite est importante

  • L'apparition de modèles spécialisés est intéressante

    • Cela ressemble à un humain formé

  • Il y a toujours une réflexion à avoir sur les LLM et les tâches d'analyse

    • Lorsqu'on évalue le risque et l'impact d'une vulnérabilité ou qu'on analyse un malware complexe, il faut examiner les points de données de manière approfondie
    • Les LLM peuvent beaucoup aider, mais il faut examiner leur raisonnement
    • Les humains aussi doivent de la même manière présenter les fondements de leurs conclusions

  • Un travail de sécurité à grande vitesse avec des systèmes d'IA est nécessaire, mais insuffisant

    • Les attaquants utiliseront eux aussi des systèmes d'IA, donc les défenseurs doivent suivre
    • Il faut construire des systèmes plus sûrs

  • Cela peut être utile pour assister le travail des experts en cybersécurité

    • Mais on craint que cela soit utilisé comme un outil pour se décharger de la responsabilité

  • Faire confiance, en sécurité, à quelque chose qui n'est correct que de façon probabiliste est peut-être une mauvaise idée

  • Cela pourrait être lié à l'acquisition de Wiz