Cisco bouwt AI-model met drie decennia aan securitykennis

maandag, 10 november 2025 (10:26) - Techzine

In dit artikel:

Cisco introduceert een nieuw, groter security-LLM van ongeveer 17 miljard parameters dat is getraind op dertig jaar aan threat intelligence van zijn Talos-team. De aankondiging deed Raj Chopra (SVP en chief product officer security) tijdens Cisco Live Asia-Pacific in Melbourne. Het model — nog zonder officiële naam en gepland “kort na Kerstmis” — moet niet alleen bedreigingen herkennen maar ook concrete verdedigingsstappen adviseren. Cisco zegt dat dit model geen simpele opvolger is van het huidige Foundation‑Sec‑8B (8 miljard parameters) dat al in producten wordt gebruikt om alerts te analyseren, code te scannen en prioriteitsworkflows voor te stellen.

Het nieuwe model traint op een mix van Talos-threatdata, incident‑samenvattingen en red‑team playbooks, met als doel een gespecialiseerde, brede reikwijdte voor detectie én respons te bieden. Cisco werkt daarnaast aan meerdere andere AI‑initiatieven — waaronder updates voor SecureBERT — en bouwt binnen de Foundation AI‑divisie een portfolio van open‑source LLM’s die wetenschappelijk onderzoek en praktische toepassingen verenigen. Yaron Singer, verantwoordelijk voor Foundation AI, leidt de inspanning na eerdere overname van Robust Intelligence.

Strategisch kiest Cisco voor relatief kleine, gespecialiseerde modellen (Small Language Models/SLM’s) die op hoogwaardige, domeinspecifieke data draaien. Dat moet een betere balans geven tussen nauwkeurigheid, aanpasbaarheid en operationele inzetbaarheid dan het simpelweg aanroepen van grote, gesloten LLM‑API’s (bijv. OpenAI/Anthropic), die vaak niet op securitydata zijn getraind, minder controleerbaar zijn en netwerktoegang vereisen. De 8→17 miljard‑stap illustreert hoe parameteraantal kan helpen maar niet de enige maatstaf is: moderne technieken zoals Mixture‑of‑Experts laten grote modellen verschillende subcapaciteiten gebruiken, terwijl kleine, gespecialiseerde modellen die rol ook kunnen vervullen voor securitytaken.

Hoewel de modellen open‑source verschijnen, benadrukt Cisco dat ze ook commercieel nuttig zijn binnen zijn producten en tooling (onder meer geïntegreerd met Splunk‑oplossingen). De aanpak is dus hybride: open onderzoek en communitydeling, gecombineerd met productintegratie om klanten te helpen hun eigen data en omgeving effectief te beveiligen.