Современный корпоративный ИИ напоминает попытку забивать микросваи кувалдой: бизнес привычно тянется за тяжелыми языковыми моделями (LLM) даже там, где требуется скальпель. Пока рынок меряется количеством параметров, в Positive Technologies пошли против мейнстрима. Их нейросеть MOLOT для поиска вредоносного кода построена не на «прорывном» декодере, а на классическом BERT-энкодере. И это не технологическая бедность, а холодный расчет: в кибербезопасности избыточность — это не только лишние нули в счетах за облака, но и прямая дыра в защите.

Вера в магию GPT, которая якобы обязана решать любые задачи классификации, выглядит комично. На практике попытки закрыть критические узлы безопасности универсальными комбайнами приводят лишь к раздуванию бюджетов на GPU-фермы ради галлюцинаций вместо точных вердиктов. Максим Митрофанов, руководитель ML-команды Application Security в Positive Technologies, подтверждает: модели размером от 1B параметров отсекли сразу. Они не дают нужной производительности в реальном секторе, где код должен проверяться мгновенно, локально и без унизительных просьб к соседним департаментам выделить еще немного вычислительных мощностей.

Экономика трезвого расчета

Механика выбора прагматична: MOLOT заточен под локальную работу. В системные требования PT Application Inspector, куда интегрирована модель, заложена возможность запуска на обычном процессоре. Пока адепты LLM стоят в очереди за видеокартами, энкодерная архитектура обеспечивает скорость, недостижимую для «тяжеловесов». Но экономика — это лишь часть истории. Главное, что энкодер по определению лишен фантазии в худшем смысле слова.

Мы изначально целились в локальную работу, чтобы хватало производительности и пропускной способности памяти даже процессора.

Галлюцинации LLM — не досадный баг, а прямое следствие их природы: они обучены угадывать следующий токен. MOLOT же анализирует всю последовательность целиком и выдает финальный вердикт. В безопасности, где цена ошибки — пропущенный бэкдор, вероятностные механизмы декодеров становятся обузой. Использование ванильного bert-base-uncased позволило команде сфокусироваться на качестве данных, а не на раздувании контекста. Эксперименты с ModernBERT и расширением окна до 4096 токенов показали, что точность не растет, зато производительность падает, а модель начинает «зевать» вредоносный код в начале цепочек.

Анатомия чистого кода

Как MOLOT вычисляет угрозы? Вместо того чтобы читать обфусцированный код «сверху вниз», как неопытный джун или типичная LLM, система разбирает его на графы вызовов и переменные. Хакеры обожают прятать логику за мусорными комментариями и запутанными путями выполнения, но MOLOT работает с цепочками активностей — подходом, заимствованным из решения Cerebro. Это позволяет классифицировать файл не по «красоте» текста, а по реальным действиям, которые он намерен совершить.

Encoder-архитектура позволяет избежать галлюцинаций. Это достигается за счет другой постановки задачи при обучении: вместо предсказания следующего токена модель принимает финальное решение без вероятностных механизмов.

Для CTO и риск-менеджеров критически важна интерпретируемость. В Positive Technologies адаптировали SHAP-анализ, добившись 81% согласованности с мнением экспертов. Когда сканер находит вирус, безопаснику нужны конкретные строки кода, а не туманные намеки. Связность MOLOT позволяет развернуть токены обратно в исходный код, превращая «черный ящик» ИИ в прозрачный инструмент аудита. Это и есть настоящий иммунитет к промпт-инъекциям: невозможно заболтать модель, которая анализирует структуру API-вызовов, а не пытается «понять» смысл текстовых манипуляций.

Отказ от громоздких ИИ-оркестров в пользу узких инструментов — единственный способ получить предсказуемый ROI. Когда архитектура выбирается под задачу, вы получаете детерминированный результат и экономию на железе. Использование BERT в кибербезопасности — это осознанный выбор надежности вместо маркетинговой мишуры. Безопасность строится на жесткой логике и проверяемых цепочках, а не на вероятности того, какой слог будет следующим в предложении.

Машинное обучениеИИ в бизнесеКибербезопасностьЛокальный ИИPositive Technologies