Sec-Gemini 3 от Google: ИБ-модель расследует Log4Shell по 650k строк логов за 12 минут
Google открыла репозиторий Sec-Gemini 3 - экспериментальной платформы для ИБ-задач: расследований, анализа логов, пентеста, ревью кода. В демо модель разобрала инцидент Log4Shell по 650k строк логов за 12 минут 34 секунды при compute cost около $1.50. Доступ пока только по инвайту через API key.
Google опубликовала репозиторий google/sec-gemini и короткое демо Sec-Gemini 3 - платформы для задач кибербезопасности с Python SDK, TypeScript SDK, CLI и web component.
Что такое Sec-Gemini 3
По официальному описанию это экспериментальная платформа с фокусом на кибербез. Но внутри уже не просто «чат по CVE»: платформа заточена под конкретные ИБ-сценарии.
Поддерживаемые сценарии из демо:
- DFIR (цифровая криминалистика и реагирование на инциденты)
- пентест
- ASM (управление поверхностью атаки)
- анализ малвари
- ревью кода
- генерация отчетов
Доступ к платформе идет через API key, и пока только для «доверенных» - тех, кого Google сама заинвайтила. Широкого открытого доступа нет.
Демо: DFIR-расследование Log4Shell
Самая показательная часть демо - ретроспективное расследование старого Log4Shell-инцидента.
Условия: 7 разных источников логов, 650k+ записей, почти никакого контекста на старте.
Что сделала модель:
- самостоятельно восстановила таймлайн компрометации
- нашла Log4Shell как вектор первоначального входа
- обнаружила закрепление через cron с интервалом каждые 5 минут
- разложила активность по фреймворку MITRE ATT&CK
Заявленный результат из ролика: выводы совпали с тем, что получила бы ручная forensic-команда. Время - 12 минут 34 секунды. Расчетная стоимость compute - около $1.50.
Важная оговорка: это демо от самих авторов, а не независимая проверка. Цифры показывают вектор, но не гарантию результата в реальных условиях.
Как устроен процесс внутри
Расследование не выдает один итоговый ответ. Модель строит длинный проверяемый процесс: логи, гипотезы, промежуточные факты и финальный отчет. Это делает результат читаемым и потенциально аудируемым.
Через механизм BYOT (Bring Your Own Tools) можно подключать свои локальные инструменты к платформе.
Риск, который нельзя пропустить
В документации BYOT прямо написано: baseline tools могут читать и писать файлы, запускать shell, Python/JS и делать сетевые запросы - с правами текущего пользователя. Без отдельного sandbox.
Запускать такое на рабочей машине с ключами и корпоративными данными - плохая идея. Нужна VM, контейнер или одноразовый cloud instance.
Что это значит
Если ты занимаешься ИБ или ведешь проекты, где есть incident response, - Sec-Gemini 3 стоит держать в поле зрения. Не как замену forensic-команды, а как инструмент, который может разобрать гигантский объем логов и выдать структурированную версию событий быстро и дешево.
Для входа нужен инвайт от Google. Репозиторий уже публичный: google/sec-gemini. Официальный сайт и документация тоже доступны.
Первым нашел и разобрал платформу автор Telegram-канала @poxek_ai.
Источник: Habr, 2 июля - читать оригинал
FAQ
Можно ли уже попробовать Sec-Gemini 3? Только если тебя заинвайтила Google. Доступ через API key для ограниченного круга пользователей.
Это продукт для покупки или исследовательский проект? Позиционируется как экспериментальная платформа. Коммерческих условий в источнике нет.
Безопасно ли запускать BYOT-инструменты? По документации - нет прав-ограничений и нет sandbox по умолчанию. Только в изолированной среде.