
Под капотом у MOLOT’а: обзор ML-модели для обнаружения вредоносного кода
mmitrofanov 5 минут назад Под капотом у MOLOT’а: обзор ML-модели для обнаружения вредоносного кода Средний 5 мин 12 Блог компании Positive Technologies Информационная безопасность * Машинное обучение * Обзор Всем...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Вот важная новость с фронта ИИ: mmitrofanov 5 минут назад Под капотом у MOLOT’а: обзор ML-модели для обнаружения вредоносного кода Средний 5 мин 12 Блог компании Positive Technologies Информационная безопасность * Машинное обучение * Обзор Всем привет! На связи Максим Митрофанов, руководитель ML-команды Application Security в Positive Technologies. Недавно мы выпустили нейросеть MOLOT и описали архитектуру решения в техрепорте на arXiv.
Эта статья в каком-то смысле его TLDR в свободном изложении. Скажу сразу, наша модель — не LLM, хотя к трансформерам имеет самое прямое отношение. MOLOT построен на базе BERT-энкодера (не modern, не neo, а самого ванильного) и умеет обнаруживать вредоносный код по цепочкам вызовов не хуже Mythos от Anthropic (как минимум не боится промпт-инъекций).
Технические детали
Malicious code (вредоносный код) — это фрагменты кода, которые намеренно добавляют в проект для скрытого выполнения опасных действий: кражи данных, получения удаленного доступа, обхода защиты и других. Для тех, у кого много сил, времени и желания, мы открыли бенчмарк, на котором были подсчитаны метрики. Ссылку на техрепорт также прикладываю:MOLOT System CardOpen Malicious Code BenchmarkНиже разберем самые важные детали пилотного релиза ML-модуля.
Не все модели LLM, не всем нужен GPUСегодня принято под любую проблему брать LLM, даже там, где может хватить моделей попроще. Как я уже сказал, MOLOT — это энкодер. Такой выбор обусловлен не только качественными метриками, но и нефункциональными.
Мы изначально целились в локальную работу, чтобы хватало производительности и пропускной способности памяти даже процессора. Вот системные требования PT Application Inspector, модулем которого и является MOLOT. Производительность, которую показывает MOLOT, при сопоставимых размерах модели пока недостижима на больших языковых моделях сопоставимого размера.
Отраслевые последствия
Поэтому языковые модели 1b мы отмели сразу. Еще одно важное отличие от LLM: encoder-архитектура позволяет избежать галлюцинаций. Это достигается за счет другой постановки задачи при обучении: вместо предсказания следующего токена (основная причина галлюцинаций) модель смотрит на всю последовательность и принимает финальное решение, без вероятностных механизмов декодеров.
Почему мы выбрали BERTВ какой-то момент разработки мы задались вопросом, стоит ли изменить что-то в самой модели. Сперва мы взялись за доменно-специфичные варианты, обратив внимание на ИБ и кодинг-специфичные базовые модели. Метрики токенизации менялись в пределах погрешности, а конечное качество файнтюнинга и вовсе не различалось.
Эксперименты по расширению контекста также оказались противоречивыми. Мы взяли ModernBERT как одну из последних моделей с расширенным контекстом, ограничив его до 4096 токенов. Сравнение длины последовательностей в результатах с различными вердиктами моделей bert-base-uncased и ModernBERT на датасете из 2027 примеровМожно заметить, что с увеличением контекста итоговое качество не изменилось.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.





