ИИ-помощники: зачем они нужны и в чём не помогут

- Для начала давайте разберёмся с терминологией. Что такое ИИ-помощники и что они умеют?

Данила Миняев: Современные ИИ-помощники — это мощные инструменты, способные значительно упростить взаимодействие с различными информационными системами, автоматизировать рутину и поддерживать пользователей в принятии решений. Ядром помощников являются большие языковые модели (LLM). Такие помощники могут, например, анализировать данные, отвечать на вопросы пользователей, генерировать отчёты в заданном формате, давать рекомендации, выполнять рутинные операции пр.

При добавления дополнительных инструментов помощники получают функционал так называемых ИИ-агентов и могут cобирать данные из различных источников (сеть интернет, внутренняя база знаний), выполнять действия в целевой системе по текстовому или голосовому описанию (например, блокировать IP-адреса, запускать обновления или отправлять уведомления), самостоятельно принимать решения на основе полученной информации и пр.

- Получается, ИИ-помощники и ИИ-агенты – это не одно и то же?

Да, они отличаются. Агенты могут выполнять конкретные действия в сопряженных системах: осуществлять поиск по интернету, «дергать» api-ручки у каких-то систем. А помощники выступают, скорее, как вопросно-ответная система, но при этом могут обладать функциями агентов: они могут взаимодействовать с внешними системами. То есть граница между ними есть, но она довольно размыта.

- Возвращаясь к ИИ-помощникам. Какие задачи они решают?

Самая главная функция ИИ-помощников – упрощать доступ к данным. Даже те, кто не владеет техническими деталями, могут получить информацию, задав вопрос на естественном языке. Во-вторых, они ускоряют принятие решений, предоставляя рекомендации на основе исторических данных и текущей ситуации. Третья функция – ИИ-помощники снижают нагрузку на команды. Они берут на себя выполнение рутинных задач, освобождая время специалистов для более важных дел. Кроме того, они повышают уровень автоматизации, интегрируются с другими системами и позволяют быстрее решать типовые и нестандартные задачи.

- То есть, они могут быть полезны при внедрении в ИБ-продукты?

ИБ-продукты, по сути, ничем не отличаются от специализированных ИТ-решений. С ними также работают пользователи, решают различные, порой сложные задачи. Современные ИБ-решения обладают большим функционалом, но, как правило, за это приходится платить не только удобством работы, но и скоростью внедрения и освоения продукта пользователями. Интегрированные в ИБ-продукты ИИ-помощники, в свою очередь, предоставляют альтернативный интерфейс (например, чат) взаимодействия с продуктом, позволяют ускорить процесс принятия решений, снять часть рутинных задач и быстрее освоить продукт, чтобы успешно решать задачи бизнеса.

- Вы говорили, что ИИ-помощники упрощают доступ к базам данных. За счёт чего это достигается?

Базы данных в сфере ИБ используются в различных аналитических решениях (например, SIEM). Чтобы правильно составить запрос, специалисту важно знать не только структуру данных и название полей, но и правильно транслировать свой запрос в SQL. А в случае со сложными запросами на это может уйти достаточно много времени – как на составление запроса, так и на его отладку. ИИ-помощник, владеющий контекстом по целевой базе данных (информацией о названии полей и их назначении) способен преобразовать запрос пользователя на естественном языке в полностью рабочий SQL-запрос, который может запустить сам пользователь или ИИ-помощник (при наличии доступа к базе данных и соответствующего функционала запуска запросов). Таким образом, доступ к базе упрощается и работать с ней может не только специалист, обладающий специфическими техническими познаниями, но и практически любой пользователь, не знакомый с продуктом.

- А какие конкретно задачи помогут решить ИИ-помощники?

Во-первых, с помощью ИИ-помощников можно быстро освоить продукт без необходимости чтения огромного количества документации. Во-вторых, это поддержка аналитиков ИБ (анализ логов и событий): ИИ-помощники помогают быстро находить нужные данные в огромных массивах логов SIEM-систем без необходимости писать *QL-запросы, автоматизируют подготовку отчётов, классифицируют инциденты и предлагают варианты реакции. Третья функция – это работа с политиками безопасности. ИИ-помощники подсказывают, как правильно настроить политики доступа, обработки данных и их защиты. Ещё одна важная роль ИИ-помощников – это обучение и поддержка пользователей вопросам ИБ. Они отвечают на типовые вопросы сотрудников о правилах безопасного поведения, фишинге, паролях и других аспектах ИБ. Наконец, они дают возможность автоматизировать расследование инцидентов: генерируют предварительные выводы, собирают данные из разных источников и предлагают действия для минимизации ущерба.

Перечисленные функции – основные для ИИ-помощников, но они могут выполнять и многие другие задачи.

- А в чём ИИ-помощники точно не помогут?

Самое главное – это самостоятельное управление продуктом. Даже самые продвинутые ИИ-помощники не могут полностью заменить человека в управлении и использовании ИБ-продуктов. Например, настройка политик безопасности и параметров конфигурации требует понимания бизнес-процессов компании, уровня доверия к сотрудникам и специфики используемых систем. Далее, ИИ-помощников нельзя использовать для принятия значимых решений за пользователя. На текущий момент времени используемые в ИИ-помощниках LLM часто подвержены галлюцинациям и в большинстве случаев теряют контекст запроса. Автоматическое принятие решений несёт очень серьезные риски остановки как отдельных бизнес-процессов, так и бизнеса в целом.

ИИ-помощники не рекомендуется использовать для анализа уникальных или нетипичных атак. Многие современные ИИ-системы обучаются на исторических данных и хорошо справляются с типичными угрозами. Однако при столкновении с новыми, ранее не встречавшимися атаками (например, активность APT-группировок, 0-day уязвимости) помощник может не распознать угрозу или дать некорректную оценку. Кроме того, важно помнить, что ИИ-помощник не обеспечит 100% точность и надёжность в ответах. Никакая LLM не идеальна. Ложные сработки, пропуски угроз, ошибки в генерации отчётов — всё это остаётся возможным даже при грамотно составленном промпте и дополнительных источниках знаний (например, RAG). Данный недостаток также делает невозможным постоянный учёт бизнес-контекста.

- Планируете ли вы использовать ИИ-помощники в продуктах NGR Softlab и что, если да, то что именно они дадут вашим решениям?

В наших продуктах мы планируем использовать ИИ-помощника, в первую очередь, для поиска по документации. На полное ознакомление с документацией каждого продукта может уйти не одна неделя, не говоря уже о необходимости помнить многие детали в будущем. ИИ-помощник, по сути, будет представлять собой интерактивную базу знаний и помогать пользователям, отвечая на вопросы по сценариям использования продукта. Например, про описание и принцип работы определённого модуля или функции.

Другой важной функцией ИИ-помощника станет помощь по контентной части продуктов (*QL-запросы, правила корреляции и пр.). Это позволит пользователям значительно сократить время на создание или проверку собственного контента и избежать множества ошибок при его создании.

Еще одной из отличительных особенностей ИИ-помощника в наших продуктах станет использование локальных LLM моделей. Это позволит использовать ИИ-помощника в закрытых контурах, где нет доступа к сети интернет. Также это исключит риски передачи чувствительных данных вовне.

Резюмируя, скажу, что ИИ-помощники являются перспективной заменой классической документации. Взаимодействие с ними сильно сокращает поиск нужной информации. Кроме того, так как функционал ИИ-помощников, по сути, ограничен лишь возможностями целевой системы и её API, они дают возможность реализовывать самые смелые идеи сценариев взаимодействия, вплоть до частичного решения задач, которые решает обычный специалист. В перспективе ИИ-помощники, несомненно, смогут взять на себя выполнение рутинных операций и частично автоматизировать сложные задачи, однако в обозримом будущем они полностью не заменят пользователя – аналитика/администратора. Для вендоров ИИ-помощники полезны с точки зрения развития альтернативных интерфейсов взаимодействия с продуктами. Кроме того, благодаря ИИ-помощникам вендоры смогут переосмыслить концепты продуктов и сделать их более привлекательными для конечных потребителей.