Промпт-инжиниринг в информационной безопасности. Как искусственный интеллект станет вашим союзником бесплатное чтение

Искусственный интеллект уже здесь – и он не ждет

Вы просыпаетесь утром, проверяете почту и видите 200 новых инцидентов в SIEM1. Фишинговые атаки, подозрительные подключения, уязвимости в коде… Знакомо? Теперь представьте, что 80% из них уже проанализированы – не вами, а искусственным интеллектом.

Пример:

В 2023 году ChatGPT сократил время анализа логов на 60% в одной из компаний из Fortune 500.

Не потому, что он умнее вас, а потому, что он быстрее.

Ваш вопрос: «А если я не разбираюсь в AI?»2

Ответ: Вам и не нужно. Эта книга – не про математику нейросетей, а про то, как заставить их работать на вас.

Следует отметить, что в 2024 году ChatGPT с обновлением GPT-4Turbo значительно улучшил анализ логов, позволяя компаниям из Fortune 500, таким как Adobe и Uber, ускорить обработку данных и выявление ошибок. Благодаря интеграции с Python и возможностям автоматизации, время анализа сократилось на 50—70% в зависимости от объема данных3.

Однако, в России пока сохраняется некоторое недоверие в части применения искусственного интеллекта в деловых процессах организации. Особенно в сфере информационной безопасности (ИБ).

Я проанализировал множество книг и курсов на русском языке, посвященных искусственному интеллекту – все они либо посвящены применению одной из конкретных моделей AI (ChatGPT от OpenaAI) для генерации продающего контента, либо подробно рассказывают как устроены и работают нейросети и иные модели искусственного интеллекта языком сложной математики.

В этой связи, у меня появилась идея рассказть Вам, специалистам по информационной безопасности, как применять доступные модели искусственного интеллекта, в ваших практических задачах. Все свои мысли я постарался изложить простым языком и снабдить примерами.

Почему именно вы?

ИБ-специалисты4 – идеальные кандидаты для работы с искусственным интеллектом. Почему?

Вы знаете контекст.

AI не понимает, что такое «нормальное поведение» в вашей информационной инфраструктуре. Вы – понимаете.

Вы умеете формулировать задачи.

Промпт-инжиниринг – это не программирование. Это навык ставить четкие задачи – то, чем вы занимаетесь каждый день.

Вы уже используете автоматизацию.

– SIEM, SOAR5, EDR6, сканеры уязвимостей… Искусственный интеллект – просто следующий шаг.

Что такое промпт-инжиниринг?

Промпт – это инструкция для модели искусственного интеллекта. Промпт-инжиниринг – искусство составлять эти инструкции так, чтобы модель делала именно то, что вам нужно.

Пример:

Плохой промпт: «Напиши политику безопасности».

Результат: Общие фразы, которые не подойдут вашей компании.

Хороший промпт: «Ты – CISO7 банка. Напиши политику для сотрудников по работе с ChatGPT. Учитывай:

– Запрещено загружать клиентские данные.

– Все запросы должны логироваться.

– Санкции за нарушения: предупреждение, блокировка доступа, увольнение».

Результат: Готовый документ, который можно внедрить завтра.

Важно: Все промпты, которые вы найдёте в этой книге, работают не только в ChatGPT. Они адаптированы для использования в любых современных больших языковых моделях (так называемых LLM – large language model): Claude, Gemini, YandexGPT, GigaChat, Qwen и других. Это возможно, потому что все они построены на схожих принципах, хотя каждая имеет свои уникальные особенности. Например, Claude лучше справляется с анализом длинных текстов, а Qwen идеально подходит для локального (внутри организации или на вашем компьютере) использования. Вы сможете выбрать инструмент, который лучше всего подходит под ваши задачи и требования к безопасности.

Чем промпт-инженер отличается от Data Scientist и ML Engineer?

Data Scientist – это специалист, который строит модели машинного обучения с нуля. Он разбирается в алгоритмах, пишет код на Python, оптимизирует нейронные сети и работает с большими данными. Его задача – создать модель, которая решает конкретную задачу, будь то классификация изображений или прогнозирование спроса.

ML Engineer – это инженер, который внедряет модели, созданные Data Scientist, в реальные системы. Он отвечает за масштабирование, интеграцию с существующей инфраструктурой и обеспечение стабильной работы моделей при вводе и после ввода в эксплуатацию.

Промпт-инженер – это специалист, который не создаёт модели и не внедряет их. Он знает, как использовать уже готовые модели для решения задач. Его инструмент – не код, а язык. Он формулирует запросы так, чтобы модель искусственного интеллекта выдавала полезные и точные результаты.

Почему это важно для ИБ? Вам не нужно разбираться в тонкостях машинного обучения или писать код. Ваша экспертиза – в понимании контекста безопасности. Промпт-инжиниринг позволяет использовать искусственный интеллект как инструмент, не углубляясь в его устройство. По сути – промпт-инжиниринг, это больше навык (навык будущего), а не отдельная профессия. Освоение этого навыка поможет вам оставаться на плаву в быстро меняющемся мире.

Что вы получите от этой книги?

Готовые инструменты. Шаблоны промптов для анализа угроз, составления отчетов, настройки и внедрения средств защиты, обучения сотрудников и т. п.

Практические кейсы. Как с помощью искусственного интеллекта проанализировать исходный код, разработать пакет организационно-распорядительных документов, подготовиться к аудиту или сократить время анализа инцидентов.

Безопасность. Как использовать искусственный интеллект, не рискуя конфиденциальными данными.

Как читать эту книгу?

Если вы новичок в тематике исусственного интеллекта — читайте последовательно. Каждая глава – шаг к уверенной работе с AI.

Если у вас есть опыт: Переходите к кейсам и шаблонам.

Главное правило: Не просто читайте – пробуйте. Каждая глава заканчивается заданием, которое можно выполнить за 5—10 минут (а иногда и меньше).

Ваш первый шаг

Откройте ChatGPT или любой другой сервис с большими языковым моделями (например, chat.qwenlm.ai, chat.mistral.ai).

Введите: «Действуй как эксперт по кибербезопасности. Перечисли 5 самых частых векторов атак на FinTech-стартапы в 2024 году. Формат: Название/Пример/Рекомендации по защите».

Результат – ваш первый промпт.

Дальше будет только интереснее!

Резюме главы

Искусственный интелелкт (AI8) – не угроза вашей работе, а инструмент, который сделает её эффективнее. Эта книга – ваш гид по миру промпт-инжиниринга. Не важно, сталкивались ли вы с AI раньше – через несколько страниц вы начнёте использовать его в своей работе.

Каждая часть данной книги заканчивается «Практикумом» – заданием, которое можно выполнить, не отходя от книги.

Нет абстрактной теории – только то, что работает и именно в реалиях ИБ: от анализа кода до подготовки к аудиту.

И последнее

Пусть эта книга станет вашим настольным справочником. Вот простое соглашение: в ближайшие две недели каждый раз, когда перед вами встанет задача – будь то анализ угроз, составление отчетов, обучение сотрудников или подготовка к аудиту, – прежде чем браться за неё вручную, загляните в эту книгу. Проверьте, можно ли решить её с помощью AI.

А через две недели – проанализируйте, сколько часов вы сэкономили, сколько рутинных задач делегировали AI и какие идеи удалось реализовать быстрее.

AI – это не один универсальный инструмент, а целый набор решений, каждое из которых подходит для определённых задач. Если вы выберете неподходящую модель, результат будет либо неточным, либо небезопасным. В этом параграфе мы разберём, как подобрать AI-инструмент под ваши задачи в области информационной безопасности.

АI инструменты с сугубо практической точки зрения можно разделить на два вида: модели и интерфейсы (обеспечивающие взаимодействие пользователя с моделями). Достаточно часто, модели и интерфейсы объединены в сервисы предоставляющие как саму модель, так и интерфейс взаимоедействия. Например, всем известный ChatGPT представляет собой сервис, который позволяет пользователю взаимодействовать с несколькими большими языковыми моделями: GPT-4o, GPT-4 Turbo, GPT-4o1-mini и т. п.

С точки зрения практического применения в ИБ нас больше интересуют, как правило, параметры самой большой языковой модели. Сервисы, обычо размещаемые в сети Интернет, как правило, предоставляют схожие наборы функций, поэтому останавливаться на их оценке, считаю, смысла нет.

Также, следует упомянут, что существуюет огромное множество различных типов и видов моделей искусственного интллекта, однако в практической ИБ нас больше всего интересуют большие языковые модели и совсем немного диффузионны модели (для генерации изображений).

Современные языковые модели используются для генерации текста и имеют в своей основе архитектуру «Transformer». Перед тем, как модель вводится в эксплутацию она проходит общее обучение (Pre-training), поэтому большинство современных моделей принято называть «Generative Pre-trained Transformer» – генеративные предварительно обученные трансформеры.

Понятие GPT (Generative Pre-trained Transformer) и понятие Большая Языковая Модель (LLM, Large Language Model) тесно связаны, но они не являются синонимами. LLM – это широкая категория моделей, к которой относится как GPT, так и языковые модели, построенные на другой архитектуре.

Таким образом большая языковая модель (LLM) – это общий термин, описывающий любую нейронную сеть, которая:

1) обучена на огромных объемах текстовых данных;

2) имеет большое количество параметров (обычно миллиарды или даже триллионы);

3) способна генерировать текст, отвечать на вопросы, переводить, писать код, решать задачи и выполнять другие языковые функции.

На этом предлгаю краткий экскурс в тематику моделей AI закончить, углубляться в данную тему мы не будем, цель данной книги научится разговаривать с моделями, а не создавать их.

Теперь давайте перейдем к рассмотрению конкретных LLM и их особвенностям.

Краткий обзор доступных LLM

1. GPT (https://chatgpt.com)

Для чего: управленческие задачи, генерация отчётов, составление шаблонов документов, разработка презентаций, инструкции по настройке программного обеспечения и средств защиты информации, обучающие материалы для сотрудников и т. п.

Плюсы: простота использования, интеграция с API.

Минусы: данные могут сохраняться у владельца сервиса. Не подходит для конфиденциальной информации. Нет моделей доступных для локального использования.

2. Claude (https://claude.ai)

Для чего: работа с длинными текстами (до 150 тысяч токенов15), анализ кода, разработка кода.

Плюсы: простота использования, интеграция с API.

Минусы: медленнее ChatGPT при больших объёмах данных. Не подходит для конфиденциальной информации. Нет моделей доступных для локального использования.

3. Mistral (mistral.ai)

Для чего: быстрый анализ данных в реальном времени (мониторинг инцидентов, первичный анализ угроз).

Плюсы: низкие требования к ресурсам, высокая скорость. Есть бесплатный API, есть версии для использования локально.

Минусы: ограниченный контекст (до 8 тысяч токенов), меньшее количество параметров (менее умная) по сравнению с двумя предыдущими.

4. Qwen (chat.qwenlm.ai)

Для чего: мультиязычный анализ угроз, особенно хорошо работает с азиатскими языками, достаточно хорошо работает с русским языком. Достаточно умная, поэтому может быть использована в широком спектре задач.

Плюсы: поддержка китайского, японского, корейского языков, русского языка. Есть версии для использования локально (на своем компьютере или сервере организации). Много версий с различным набором параметров (что позволяет подбирать оптимальную модель под производительность оборудования). У внешнего (онлайн) сервиса нет региональных ограничений для России (как например у ChatGPT или Claude).

Минусы: меньшее количество параметров (менее умная) по сравнению с моделями OpenAI, Claude и DeepSeek (если сравнивать топовые версии).

5. DeepSeek (chat.deepseek.com)

Для чего: анализ сложных векторов атак, математические, логические задачи.

Плюсы: Reasоnіng модель (модель рассуждений), способна выполнять логические или аналитические операции для решения сложных задач. Высокая точность в логических и математических расчётах. Есть версии для использования локально (с функцией Reasоnіng).

Минусы: внешняя (онлайн) модель имеет крайне низкую защищенность. Локальные модели с небольшим количеством параметров (до 72 миллиардов), отличаются склонностью к галлюцинациям (по наблюдениям автора).

6. Qwen Coder (chat.qwenlm.ai)

Для чего: анализ и генерация кода, поиск уязвимостей кода.

Плюсы: специализация на коде, поддержка Python, Java, C++. Есть локальные версии.

Минусы: иногда генерирует избыточный код.

7. CodeStral (mistral.ai)

Для чего: генерация и анализ кода, поиск уязвимостей кода.

Плюсы: поддержка множества языков программирования (более 80 языков программирования, в т. ч. Python, Java, C, C++, JavaScript, Bash). Есть локальные версии.

Минусы: иногда генерирует избыточный код.

8. GigaChat (https://giga.chat/)

Для чего: русскоязычная модель с акцентом на бизнес-задачи.

Плюсы: подходит для генерации отчётов и анализа данных на русском языке. Хорошо работает с русским языком. Есть локальные модели которые работают с высокой скоростью.

Минусы: менее умная по сравнению с зарубежными аналогами.

9. YandexGPT (alice.yandex.ru)

Для чего: решение для русскоязычных пользователей.

Плюсы: подходит для анализа текстов на русском языке.

Минусы: ограниченная функциональность по сравнению с конкурентами. По оценкам (бэнчмаркам) на момент подготовки данной книги (начало 2025 года) находится на уровне Qwen 2.5 32b. Нет локальных версий.

10. T-Lite (только локальная версия)

Для чего: локальная автоматизация, RAG16 (о нем поговорим в третьей части книги).

Плюсы: низкие требования к ресурсам (можно развернуть на своем компьютере). Хорошо работает с русским языком. Можно использовать для работы с конфиденциальными данными.

Минусы: ограниченный контекст. Всего 7 миллиардов параметров.

11. T-Pro (только локальная версия)

Для чего: локальная автоматизация, RAG.

Плюсы: достаточно умная (32 миллиарда параметров) при сравнительно небольшой загрузке вычислительных ресурсов.

Минусы: требует мощного железа для больших объёмов данных.

Как выбрать сервис: критерии для ИБ

1. Безопасность данных

Локальные модели (Mistral, Qwen, T-Lite, T-Pro, GigaChat) – для конфиденциальных данных.

Облачные (ChatGPT, Claude) – только для задач не связанных с обработкой информации ограниченного доступа (критичной для компании информации).

2. Точность

Для анализа кода – Qwen Coder, CodeStral.

Для длинных текстов – Claude, T-Pro.

3. Стоимость

Бесплатные и не требовательные к ресурсам – Mistral, T-Lite (подходят для старта).

Корпоративные решения – T-Pro, Qwen и DeepSeek 72B и выше. Достаточно неплохо (стоит рассмотреть) показывает себя локальная версия GigaChat (20 миллиардов параметров).

4. Интеграция

Через API – ChatGPT, Claude, DeepSeek, Mistral, GigaChat, YandexGPT

В локальную инфраструктуру – Qwen, Mistral, DeepSeek, T-Lite (Pro), GigaChat

5. Скорость

Реальное время – Mistral, T-Lite, GigaChat

Глубокий анализ – Claude, T-Pro, Qwen

6. Поддержка языков

Русский – YandexGPT, GigaChat, T-Lite (Pro)

Азиатские языки – Qwen, DeepSeek.

Универсальные – ChatGPT, Claude.

Как выбрать модель на основе тестов (бэнчмарков)?

Бэнчмарки – это стандартизированные тесты, которые оценивают производительность моделей по разным параметрам: точность, скорость, поддержка языков, безопасность данных.

Как использовать бэнчмарки?

Определите ключевые параметры: точность (например, для анализа кода или текста), скорость (для задач в реальном времени), поддержка языков (русский, китайский) и т. д.

Сравните модели по бэнчмаркам:

– MMLU (Massive Multitask Language Understanding) – оценивает общую эрудицию модели.

– HumanEval – тестирует способность модели писать код.

– SQuAD (Stanford Question Answering Dataset) – проверяет точность ответов на вопросы.

Пример. Если вам нужна модель для анализа кода, сравните результаты Qwen Coder и CodeStral по HumanEval (рисунок 4).

Рисунок 4. Пример сравнения моделей для работы с кодом

Если важна поддержка русского языка, проверьте модели по тестам на русскоязычных датасетах (рисунок 5).

Рисунок 5. Пример сравнения моделей работающих с русским языком

Где найти бэнчмарки?

1. Официальные сайты моделей. Например, OpenAI и Mistral публикуют результаты тестов своих моделей.

2. Сайты, где можно скачать локальные модели. Например, HuggingFace и Ollama

3. Различные исследовательские платформы. Например, сайт Альянся в сфере искусственного интеллекта (https://a-ai.ru/).

Как практикам в сфере ИБ, нам не нужно особо углублятся в анализ бэнчмарков. Для выбора модели я бы рекомендовал бэнчмарки представленные на сайте Альянса в сфере искусственного интеллекта (https://mera.a-ai.ru/ru/leaderboard).

Данного лидерборда, в целом, достаточно, чтобы выбрать подходящую модель и начать тестировать ее под свои задачи. На рисунке 6 видно, какие модели показывают себя достаточно хорошо в работе с русскоязычними текстами (задачами). На этом же сайте можно посмотреть, какие модели лидируют по определенным доменам, например безопасность, компьютерная безопасность, юриспруденция (если модель нужна для задач комплаенса).

Рисунок 6. Лидерборд больших языковых моделей