Velké jazykové modely (LLM) jako ChatGPT si v posledních měsících vydobyly pevné místo v kancelářích i vývojových týmech. Jak ukazuje prezentace Michala Kubíčka, která zazněla na odborné konferenci Kyberbezpečnost 2025 Ostrava, jejich potenciál sahá mnohem dál – až do samotného srdce kybernetické bezpečnosti. Tedy do prostředí, kde rozhodují sekundy, přesnost a schopnost rychle rozpoznat hrozbu. Umělá inteligence zde může hrát klíčovou roli. Ovšem nejen jako pomocník, ale i jako protivník.
LLM v SOCu: rychlejší analýza, menší zátěž
Jedním z největších problémů současných bezpečnostních týmů je zahlcení alerty a incidenty. Analýza je časově náročná a lidská kapacita omezená. Právě zde mohou jazykové modely výrazně pomoci. Díky přístupu zvanému RAG (Retrieval-Augmented Generation) dokáže model propojit aktuální data s uloženými znalostmi a během několika sekund připravit souhrn, který by analytik zpracovával i desítky minut. Tato schopnost se obzvlášť hodí při komplexních nebo korelovaných incidentech.
Modely navíc poskytují první orientaci i méně zkušeným operátorům a pomáhají tak udržet vysokou kvalitu práce i bez neustálé přítomnosti seniorních expertů. Jelikož umělá inteligence nepodléhá únavě ani rutinnímu přehlížení alertů, může zajistit konzistentní úroveň pozornosti 24 hodin denně, sedm dní v týdnu.
Cloud nebo on-prem? Otázka kontroly a bezpečnosti
I když je použití jazykového modelu formou cloudu pohodlné a zpravidla výkonné, přináší otázky kolem ochrany citlivých dat. Naproti tomu stojí lokální nasazení – tedy provoz modelu přímo ve vlastní infrastruktuře – zajišťující plnou kontrolu nad tím, co se s daty děje. S vývojem roste dostupnost otevřených modelů, jako jsou Mistral z EU, Phi z USA nebo čínské modely Qwen a DeepSeek, které lze provozovat zcela nezávisle na veřejných API. Pro testování a provoz těchto modelů existuje řada nástrojů – například LM Studio, GPT4ALL nebo Ollama, které umožňují jejich snadné začlenění do stávajících systémů.
Rizika LLM: nejsou neomylné, i když působí sebevědomě
I přes svou pokročilost nejsou jazykové modely bezchybné. Jedním z hlavních rizik je tzv. halucinace, tedy situace, kdy model s velkou jistotou tvrdí něco, co není pravda, protože nemá dostatečný nebo přesný kontext. Dalším limitem je omezená délka vstupního kontextu. U rozsáhlých incidentů se tak může stát, že se do „paměti“ modelu nevejdou všechna potřebná data. V takových případech je potřeba chytrého filtrování a vícekrokového dotazování. Problémy může způsobit i špatně navržená integrace, kde kvalita odpovědí závisí na přesnosti promptu nebo formátu vstupních dat. A konečně je důležité mít na paměti, že LLM není rozhodovací autorita. Měl by sloužit jako pomocník, nikoliv jako automatizovaný náhradník lidského úsudku.
A co když AI používá útočník?
Možná nejzajímavější (a zároveň nejznepokojující) informací je myšlenka, že stejný nástroj, který pomáhá obráncům, může velmi snadno sloužit i útočníkům. Představme si scénář, kdy začínající útočník provede základní sken serveru pomocí Nmapu. Dříve by potřeboval znalosti, aby výstup správně interpretoval. Dnes ale stačí, aby výstup zadal do jazykového modelu s jednoduchým dotazem: „Které služby jsou zranitelné a jaký by mohl být další krok útoku?“ Model mu bez zaváhání navrhne možné exploity a doporučí postup. I naprostý laik se tak může s pomocí AI dostat na úroveň pokročilého útočníka.
Závěr: Buďte rychlejší!
LLM mají v oblasti kyberbezpečnosti obrovský potenciál. Ten však není bez rizik a může být zneužit stejně snadno, jako umí pomáhat. Základní pravidla pro jejich nasazení jsou jasná: Začínat s konkrétním scénářem použití, například detekcí phishingu, využívat otevřené modely, které umožňují plnou kontrolu nad daty, a především nezapomínat, že rozhodnutí musí i nadále zůstat v lidských rukou. Jak to shrnuje Michal Kubíček: „LLM není kouzelník. Je to rychlý analytik – ale bez člověka by mohl být i nebezpečně přesvědčivý.“
Zajímá vás víc?
Obrátit se můžete přímo na našeho obchodního ředitele Radima Pracucha. Zavolejte na +420 724 065 027 nebo napište na pracuch@datasys.cz a zjistěte, jak DATASYS může pomoci zabezpečit právě vaši organizaci.