Securitybedrijven zetten kleine AI-modellen in om bedrijven te beschermen. Het kleine aantal parameters wordt bij Cisco echter meer dan verdubbeld, van 8 miljard naar 17 miljard. Het nieuwe model bevat 30 jaar aan threat intelligence vanuit Cisco Talos. Van een opvolger van het eerdere Foundation-Sec-8B is alleen geen sprake, stelt het bedrijf.
Cisco gebruikt momenteel Foundation-Sec-8B, een model met acht miljard parameters dat geïntegreerd zit in verschillende producten. Het model analyseert security alerts, controleert code op kwetsbaarheden en stelt workflows voor die security prioriteren. Het nieuwe model, nog zonder naam, is ambitieuzer van aard. Het moet zowel dreigingen detecteren als stappen adviseren om die cybergevaren af te wenden.
Op Cisco Live Asia-Pacific in Melbourne kondigde Raj Chopra, senior vice president en chief product officer voor security, het nieuwe 17 miljard parameter-model aan. The Register berichtte als eerste erover. Het model traint op threat intelligence, incident summaries en red team playbooks die Cisco heeft verzameld. Chopra benadrukt dat het Talos-team dertig jaar aan data bijdraagt aan de training. Hierdoor moet het nieuwe model van alle markten thuis zijn als het om dreigingen en de verdediging daartegen gaat.
Detectie én advies
Het nieuwe model is dus geen directe opvolger van Foundation-Sec-8B, vertelt Chopra aan The Register. “We willen een model bouwen dat zowel dreigingen detecteert als stappen adviseert om ze aan te pakken. Daarvoor hebben we een uitgebreid model nodig.” Het model verschijnt “na Kerstmis, maar niet ver daarna.”
Cisco werkt volgens Chopra aan “een hele phalanx” nieuwe modellen en AI-initiatieven. Hij wijst op de late-oktober release van een update voor het SecureBERT-model, een tool voor securityprofessionals. Cisco hielp de ontwikkelaars de performance “manyfold” te verbeteren in de nieuwe versie.
Meerdere speerworpen die op hetzelfde securityprobleem mikken, met andere woorden. We vernamen in april al dat Cisco grote plannen heeft met het bouwen van eigen AI-modellen. Het destijds opgerichte Foundation AI moet binnen Cisco meer dan alleen security verzorgen, maar die tak van sport krijgt momenteel duidelijk wel de focus. Yaron Singer is verantwoordelijk voor Foundation AI en leidde eerder het door Cisco overgenomen Robust Intelligence. De taak van Cisco’s AI-tak is voornamelijk wetenschappelijk van aard, en in de geest van open onderzoek verschijnen de modellen dan ook als open-source LLM’s.
Open source met commerciële kant
Cisco ontwikkelt LLM’s omdat organisaties volgens het bedrijf een mengelmoes nodig hebben van generieke securitydata en informatie over hun eigen omgeving. De modellen zijn open-source, maar de AI-inspanningen zijn niet volledig altruïstisch, merkt The Register op. Cisco gebruikt de modellen in eigen producten en positioneert zijn Splunk-tools als de beste manier voor klanten om hun eigen data te analyseren. Dat is logisch, maar we verwachten niet dat de LLM’s voor security zomaar achter een closed-source muur verdwijnen. Dit is omdat generatieve AI-modellen eigenlijk nog niet al te volwassen zijn voor securitydoeleinden.
De oplossing hiervoor blijkt om kleine AI-modellen te bouwen op hoogwaardige data. Eigenlijk gaat het dus om Small Language Models (SLM’s) die op relatief eenvoudige hardware kan draaien. Cisco is niet de enige partij die dit doet; ook Trend Micro heeft het zogeheten “Cybertron”-model met 8 miljard parameters getraind. Het alternatief zou zijn om de grootste AI-modellen van bijvoorbeeld OpenAI of Anthropic via een API te draaien, maar deze LLM’s zijn niet getraind op hoogwaardige securitydata. Ze missen daardoor de accuratesse om nuttig te zijn en omdat ze closed-source zijn, zijn ze niet aanpasbaar of te controleren op de trainingsdata. Daarnaast vereisen ze een internetverbinding om te functioneren.
Uit eigen gebruik merken we dat de stap tussen 8 miljard parameters en 17 (of omstreken) miljard groot is. De foutgevoeligheid van alle kleinere modellen is hoog als ze veel taken moeten uitvoeren, maar enkel de parameters moeten niet gelden als meetlat voor de vaardigheid van een LLM. Zo bestaat DeepSeek-R1 uit 671 miljard parameters, maar gebruikt het daar slechts een fractie van voor elke individuele AI-prompt. Een kleiner model dat enkel op security is gericht, kun je dus in feite zien als een van deze fracties die ook in een grotere LLM geactiveerd had kunnen woorden voor securitytaken. Deze techniek heet Mixture-of-Experts en is door verschillende AI-bedrijven doorontwikkeld, waaronder OpenAI, DeepSeek, Meta en Mistral.
Lees ook: Cisco zet Foundation AI op en komt met opensource security AI-model