Cisco ha presentado Foundation-Sec-8B, un innovador modelo de lenguaje con 8 mil millones de parámetros diseñado específicamente para aplicaciones de ciberseguridad. Este desarrollo representa un avance significativo en la integración de la inteligencia artificial con las necesidades específicas del sector de la seguridad informática.
Un modelo de IA diseñado exclusivamente para ciberseguridad
Foundation-Sec-8B, también conocido como Llama-3.1-FoundationAI-SecurityLLM-base-8B, es un modelo de lenguaje de código abierto que extiende el modelo Llama-3.1-8B de Meta mediante un entrenamiento adicional con un corpus curado de textos específicos de ciberseguridad. Este corpus incluye informes de inteligencia sobre amenazas, bases de datos de vulnerabilidades, documentación de respuesta a incidentes y estándares de seguridad.
Desarrollado por el equipo liderado por Amin Karbasi en Foundation AI — Cisco, el modelo ha sido entrenado para comprender conceptos, terminología y prácticas de seguridad en múltiples dominios. Según la documentación oficial, Foundation-Sec-8B permite a las organizaciones "construir herramientas de seguridad basadas en IA que pueden desplegarse localmente, reduciendo la dependencia de servicios de IA en la nube mientras mantienen un alto rendimiento en tareas relacionadas con la seguridad."
El modelo utiliza una arquitectura de transformador optimizada con aprendizaje autorregresivo y está disponible bajo la licencia Apache 2.0, lo que facilita su adopción por parte de organizaciones y desarrolladores.
Aplicaciones prácticas en el mundo de la ciberseguridad
Foundation-Sec-8B está optimizado para tres categorías principales de casos de uso:
Aceleración de Centros de Operaciones de Seguridad (SOC)
El modelo puede automatizar procesos de clasificación, resumir información, generar notas de casos y recopilar evidencias, tareas que normalmente consumen mucho tiempo a los analistas de seguridad. Esto permite a los equipos de SOC responder más rápidamente a incidentes y amenazas.
Defensa proactiva contra amenazas
Una de las capacidades más interesantes es la posibilidad de simular ataques, priorizar vulnerabilidades, mapear tácticas, técnicas y procedimientos (TTP) y modelar el comportamiento de atacantes. Estas funcionalidades permiten a las organizaciones anticiparse a posibles amenazas en lugar de simplemente reaccionar a ellas.
Habilitación de ingeniería
El modelo también proporciona asistencia en seguridad, validación de configuraciones, evaluación de evidencias de cumplimiento y mejora de la postura de seguridad general de una organización.
En la práctica, las aplicaciones derivadas del modelo incluyen:
- Resumir manuales de detección e informes de incidentes
- Mapear amenazas a técnicas MITRE ATT&CK
- Priorizar vulnerabilidades basadas en riesgo contextual
- Extraer evidencias de cumplimiento de documentos
- Asistir a analistas SOC con la clasificación e investigación de alertas
- Generar planes de ataque para equipos rojos y modelos de amenazas
- Predecir los siguientes pasos de atacantes en investigaciones activas
Entrenamiento y evaluación comparativa
Foundation-Sec-8B fue preentrenado con aproximadamente 5.1 mil millones de tokens de datos específicos de ciberseguridad recopilados de fuentes públicas en la web. El corpus de preentrenamiento se construyó mediante un proceso que incluyó rastreo web a gran escala, filtrado por relevancia, eliminación de duplicados y filtrado de calidad.
La fecha límite de los datos es el 10 de abril de 2025, lo que significa que el modelo no tiene conocimiento de vulnerabilidades o amenazas descubiertas después de esa fecha.
En términos de rendimiento, Foundation-Sec-8B supera a su predecesor Llama 3.1 8B en evaluaciones específicas de ciberseguridad:
| Benchmark | Foundation-sec-8B | Llama 3.1 8B | Llama 3.1 70B |
|---|---|---|---|
| CTI-MCQA | 67.39 | 64.14 | 68.23 |
| CTI-RCM | 75.26 | 66.43 | 72.66 |
Como explica el informe técnico, el benchmark CTI-MCQA consiste en 2.500 preguntas de opción múltiple que evalúan el conocimiento en ciberseguridad en marcos como MITRE ATT&CK, NIST, GDPR y mejores prácticas de inteligencia de amenazas. Por otro lado, CTI-RCM incluye más de 900 ejemplos de mapeo de causa raíz de vulnerabilidades que vinculan CVEs a categorías CWE.
Lo más destacable es que el modelo de 8B logra mejoras de entre 3 y 9 puntos sobre Llama-3.1-8B en benchmarks específicos de seguridad, y tiene un rendimiento comparable o mejor que Llama-3.1-70B en tareas de inteligencia de amenazas cibernéticas, a pesar de tener muchos menos parámetros.
Limitaciones y recomendaciones de uso
Como cualquier modelo de IA, Foundation-Sec-8B tiene limitaciones que los usuarios deben tener en cuenta:
-
Conocimiento limitado: El modelo puede no estar familiarizado con vulnerabilidades, exploits o vectores de ataque recientes lanzados después de su fecha límite de entrenamiento.
-
Posibles sesgos: Puede reflejar sesgos presentes en la literatura y documentación de seguridad, y puede estar sesgado hacia ciertos ecosistemas tecnológicos.
-
Riesgos de seguridad: El modelo no puede verificar la identidad o intenciones de los usuarios, y las técnicas de prompting adversario podrían potencialmente eludir los mecanismos de seguridad.
-
Limitaciones técnicas: No puede acceder a sistemas externos ni escanear entornos activamente, y no puede verificar independientemente la precisión de sus resultados.
Para abordar estas limitaciones, los desarrolladores recomiendan:
-
Implementar supervisión humana: Siempre hacer que profesionales de seguridad cualificados revisen los resultados del modelo antes de la implementación.
-
Diseñar salvaguardas del sistema: Implementar capas de validación adicionales para aplicaciones construidas con este modelo.
-
Utilizar técnicas de ingeniería de prompts: Usar prompts cuidadosamente diseñados que fomenten prácticas éticas de seguridad.
-
Complementar el conocimiento: Suplementar el modelo con feeds y bases de datos de seguridad actualizados.
-
Establecer políticas de uso: Desarrollar y hacer cumplir políticas claras de uso aceptable para aplicaciones que utilicen este modelo.
Usos fuera del alcance previsto
Es importante destacar que el modelo no está diseñado para generar contenido dañino como malware, contenido de phishing o planes de ataque dirigidos a organizaciones específicas. Tampoco debe utilizarse para tomar decisiones de seguridad críticas sin supervisión humana, proporcionar asesoramiento legal sobre requisitos de cumplimiento o regulaciones de seguridad, ni para casos de uso no relacionados con la seguridad.
Cómo empezar a utilizar el modelo
Para aquellos interesados en implementar Foundation-Sec-8B, el modelo está disponible a través de Hugging Face. Los desarrolladores han proporcionado código de ejemplo para comenzar a utilizar el modelo, que incluye la importación de las bibliotecas necesarias, la carga del modelo y el tokenizador, y la generación de respuestas.
Para preguntas sobre el equipo, el uso del modelo y direcciones futuras, los usuarios pueden contactar a Amin Karbasi (karbasi@cisco.com). Para preguntas técnicas sobre el modelo, se recomienda contactar a Paul Kassianik (paulkass@cisco.com).
Foundation-Sec-8B representa un paso significativo en la adaptación de modelos de lenguaje grandes para tareas específicas de dominio, y promete acelerar y mejorar numerosos aspectos del trabajo de los profesionales de la ciberseguridad.
