TL;DR
- Test daty założenia: firmy powstałe przed 2022 rokiem fizycznie nie mogą mieć LLM (dużych modeli językowych) w swoim rdzeniu
- AI na krawędziach vs AI w rdzeniu: większość firm dodaje AI jako dodatkowe funkcje, nie przebudowuje podstawowej technologii
- Kontekst to klucz: LLM rozwiązują fundamentalny problem produktów bezpieczeństwa – rozumienie kontekstu między różnymi źródłami danych
- Rozumowanie krok po kroku: agentic AI może iteracyjnie badać problemy zamiast dawać natychmiastowe odpowiedzi
- Doświadczenie użytkownika (UX) to przyszłość: puste pola tekstowe to zły standard – potrzebujemy interfejsów pokazujących możliwości AI
- Modele jako infrastruktura: OpenAI i konkurenci chcą stać się „światowymi silnikami inteligencji” jak AWS dla mocy obliczeniowej
- Zarządzanie podatnościami: idealna arena dla LLM ze względu na złożoność kontekstu i rosnący hałas w alertach
- Epidemia marketingowego AI w bezpieczeństwie cybernetycznym
Harry Weatherald posiada 10-letnie doświadczenie w uczeniu maszynowym (ML). Przez te lata obserwował fale prawdziwych innowacji, lecz także marketingowy szum.
Według Weatheralda z każdą falą uczenia maszynowego pojawia się również fala ludzi, którzy w biurach marketingowych decydują – jeśli tylko dodamy słowo AI do tego co już robimy, świat zwróci uwagę na nasz produkt.
Problem dotyka szczególnie branży bezpieczeństwa cybernetycznego. Na konferencjach jak RSA 8 na 10 stoisk reklamuje produkty „z AI”. Większość z tych firm powstała przed 2022 rokiem – w związku z tym ich rdzeń technologiczny nie może używać LLM. To matematyka, nie opinia.
Test daty założenia – metodyka weryfikacji AI
Weatherald proponuje prostą metodę weryfikacji autentyczności AI w produktach bezpieczeństwa. Technologia rozwija się falami:
- 2012-2015: pierwsza fala nowoczesnego uczenia maszynowego – Google rozpoznaje obrazy lepiej niż ludzie
- 2017-2018: początki dużych modeli językowych (ale jeszcze niedojrzałe)
- 2022+: druga fala – LLM stają się naprawdę użyteczne (ChatGPT)
Kluczowe zasady weryfikacji według eksperta:
- Firmy rzadko usuwają swoje koronkowe klejnoty i zaczynają od zera
- Zamiast tego doklejają nowe technologie na krawędziach
- Produkty z 2005-2010 = prawdopodobnie brak ML w rdzeniu
- Produkty sprzed 2022 = brak LLM w rdzeniu
Weatherald wyjaśnia, że produkty zbudowane około 2005-2010 prawdopodobnie nie używają dużo uczenia maszynowego w swoim rdzeniu. To logika, nie złośliwość.
Dlaczego lokalizacja AI ma znaczenie dla skuteczności
Różnica między AI na krawędziach a AI w rdzeniu nie jest tylko techniczna. Ma praktyczne konsekwencje, o czym mówi Weatherald używając analogii z „fizyką budowania produktów”.
Tysiące dobrze finansowanych firm na świecie próbuje rozwiązać te same problemy. Mamy bardzo zdolnych ludzi z dostępem do najlepszych narzędzi. Dlatego jesteśmy całkiem skuteczni w znajdowaniu najlepszych rozwiązań używając dostępnych dziś narzędzi.
Oznacza to, że nowy produkt może być 10x lepszy tylko wtedy, gdy używa zupełnie nowej technologii. Jeśli 90% wartości produktu pochodzi z technologii sprzed 3-5 lat, nie powinniśmy oczekiwać przełomowej różnicy.
Duże firmy napotykają „innowacyjny dylemat” – nie chcą kasować swoich koronkowych klejnotów i zaczynać od zera. W zamian doklejają LLM na krawędziach.
Weatherald podaje przykład fali współpilotów w systemach SIEM (Security Information and Event Management). Nikt nie chciał usuwać całego SIEM-a, więc dodano współpilot – analityk SOC (Security Operations Center) pisze w naturalnym języku, a system tłumaczy to na zapytanie. To technicznie używa LLM, ale nie jest krytyczną częścią produktu.
LLM rozwiązują fundamentalny problem bezpieczeństwa
Według Weatheralda prawie każdy produkt bezpieczeństwa można sprowadzić do tej samej formuły: weź 1-n źródeł danych, przeanalizuj je i powiedz czy coś jest dobre czy złe.
Problem tradycyjnych systemów:
- Słabo rozumieją kontekst między źródłami danych
- Patrzą na kilka punktów i próbują zgadnąć wynik
- Generują dużo hałasu i fałszywych alertów
Co zmieniają LLM:
- Rozumieją relacje między różnymi źródłami danych
- Przeprowadzają dochodzenie krok po kroku
- Iteracyjnie szukają nowych danych tam gdzie potrzeba
- Mogą zmniejszyć hałas w produktach bezpieczeństwa o czynnik 10 lub 100
Weatherald przewiduje, że ludzie zajmujący się bezpieczeństwem przestaną marnować czas na fałszywe alerty.
Uczenie maszynowe vs LLM – chaos w terminologii
Weatherald przyznaje, że terminologia w tym świecie to „koszmar”. Wszystko to diagramy Venna, większość rzeczy to podzbiory innych rzeczy.
Technicznie LLM to podzbior uczenia maszynowego. Kiedy ekspert mówi o „uczeniu maszynowym”, często odnosi się do fali z lat 2012-2015. Ludzie przeszli na terminy „AI”, „generative AI” czy „duże modele językowe”, żeby odróżnić od bardziej tradycyjnych, ograniczonych modeli ML.
Z tego powodu „stare ML” z 2015 roku flagowało coś w punkcie czasowym, natomiast nowe LLM mogą prowadzić ciągłe dochodzenie jak Deep Research Perplexity.
Agentic AI – następny poziom automatyzacji
Weatherald opisuje agentic AI jako system wielokrotnych wywołań LLM zamiast pojedynczego zapytania. Zamiast zapytania „Gdzie powinienem zjeść śniadanie w Paryżu?” i otrzymania odpowiedzi, system prowadzi rozmowę sam ze sobą. Może też używać narzędzi i innych zasobów.
Deep research Perplexity to według eksperta świetny przykład. Używa dokładnie takiego rozumowania krok po kroku, które zmieni większość segmentów bezpieczeństwa.
Podobne podejście stosują nowe modele jak Deep Seek czy ChatGPT o1. Wszystkie dają LLM czas na myślenie i przekazywanie danych tam i z powrotem aż do lepszych odpowiedzi.
Problem doświadczenia użytkownika w produktach AI
Największy problem obecnych produktów AI? Doświadczenie użytkownika.
Problemy ze standardowym podejściem:
- Puste pole tekstowe jako główny interfejs
- Brak wskaźników funkcji – nie pokazuje co można robić
- Użytkownicy muszą stać się ekspertami w pisaniu promptów
Lepsze produkty używają prostego tekstowego interfejsu jak zaawansowanego panelu kontrolnego – dla 20% użytkowników lub gdy normalne funkcje nie działają.
Weatherald przedstawia swoją wizję: najlepsze produkty nie będą polegać na wolnym wpisywaniu tekstu. Zbudują przepływy UX pozwalające ludziom wyciągnąć dużo mocy z LLM, ale pokażą im co mogą z tym zrobić.
Sukces Perplexity nie wynika z niesamowicie inteligentnych modeli, ale z innowacji w doświadczeniu użytkownika. Podobnie Cursor w developmencie – to głównie lepszy interfejs do interakcji z LLM.
Modele jako nowa infrastruktura
Weatherald porównuje obecną sytuację do AWS, Google Cloud i Azure. Te firmy stały się „światowym komputerem” – prawie każdy startup idzie na AWS, a przedsiębiorstwa używają Azure.
Zakład inwestorów: dostawcy modeli AI staną się „światowymi silnikami inteligencji” odgrywając podobną rolę jak dziś AWS.
Alternatywny scenariusz? Modele open source skommodityzują wszystko co robią OpenAI i konkurenci.
Weatherald mówi pragmatycznie: tak długo jak wszyscy ci ludzie wyrzucają pieniądze na usprawnianie modeli, jesteśmy zadowoleni.
Dlaczego AI pochłania szalone pieniądze
Weatherald tłumaczy logikę „nieprzeciętnych ilości kapitału” inwestowanych w LLM. Wszystko sprowadza się do praw skalowania.
Od fali głębokiego uczenia 2012-2015 modele były rzędami wielkości mniejsze niż dzisiejsze. Kluczowe odkrycie: gdy rzucasz więcej mocy obliczeniowej na modele, poprawiają się w sposób liniowy, nie osiągają plateau.
Ekspert wyjaśnia: wszyscy ci duzi gracze myślą – jeśli po prostu rzucimy jeszcze więcej mocy obliczeniowej na ten problem, dostaniemy jeszcze lepszy model w sposób liniowy.
Stąd szalone kwoty. Założyciel SoftBank mówił o 7 bilionach dolarów potrzebnych na prawdziwe AI. To sumy tak oszałamiające, że prawie nie mają sensu.
Jednak jest pułapka: wszystkie firmy walczą zaciekle o 5-10% poprawę względem siebie. Deep Seek z Chin pokazał inną drogę – ograniczenia zmusiły ich do większej efektywności zamiast czystego skalowania.
Weatherald przewiduje więcej efektywnych inwestycji w 2025, mniej „rzucania pieniędzmi za wszelką cenę”.
Praktyczne wnioski dla zespołów bezpieczeństwa
Strategia budowy produktu AI na przykładzie Maze:
- Buduj modularnie – pozwól na wymianę modeli
- Używaj AWS Bedrock lub podobnych – dane nie opuszczają środowiska
- Przygotuj się na szybkie tempo zmian w modelach
- Skup się na wydajności teraz, optymalizacja kosztów później
Weatherald ostrzega przed dostrajaniem własnych modeli. Duże modele poprawiają się tak szybko, że 6 miesięcy pracy może zostać zmiecione przez kolejny release.
Jego analogia brzmi następująco: to jak wzięcie stażysty, który nie jest zbyt mądry, i trenowanie go przez 10 lat na księgowego. Stanie się bardzo dobrym księgowym, ale będzie bardzo słaby we wszystkim innym. Problem? Zanim skończysz trenować swojego „stażysty”, pojawi się nowy geniusz, który wymiecie wszystko co zrobiłeś.
Ekspert tłumaczy: moglibyśmy spędzić 6 miesięcy dostrajając nasz mały model, a potem wyjdzie nowy duży model i zmiecie wszystko co zrobiliśmy.
Design jako przewaga konkurencyjna
Weatherald podkreśla, że jeden z jego współzałożycieli to designer z 15-letnim doświadczeniem. To rzadkość w bezpieczeństwie – niewiele zespołów założycielskich ma designera.
Ekspert zauważa z przekąsem: widać to gdy patrzysz na produkty bezpieczeństwa.
W erze AI design stanie się jeszcze ważniejszy. Firmy jak Perplexity i Cursor wygrywają głównie dzięki doświadczeniu użytkownika, nie dzięki lepszym modelom pod spodem.
Przyszłość zarządzania podatnościami
Weatherald wcześniej prowadził zarządzanie produktem w Tessian – firmie używającej uczenia maszynowego z ery 2015 do bezpieczeństwa poczty elektronicznej. Teraz w Maze skupia się na innym problemie.
Ważne: Maze nie zajmuje się wykrywaniem zagrożeń ani reagowaniem. Nie szukają napastników ani nie obsługują incydentów SOC. Skupiają się wyłącznie na zarządzaniu podatnościami – gdzie są potencjalne ryzyka w środowisku, błędne konfiguracje, podatności.
Ekspert opisuje skalę problemu: istnieje tyle hałasu nawarstwiającego się dla tylu zespołów. Ich zaległości rosną, wszystko jest eksploitowane szybciej i szybciej.
LLM mogą przywrócić przewagę obrońcom. Kontekst, rozumowanie krok po kroku i zmniejszenie hałasu o rząd wielkości – to konkretne korzyści, nie abstrakcyjne obietnice.
Lista kontrolna: Jak weryfikować AI w produktach bezpieczeństwa
Podstawowa weryfikacja
- Sprawdź datę założenia firmy – przed 2015? Prawdopodobnie brak nowoczesnego ML w rdzeniu; przed 2022? Brak LLM w rdzeniu
- Zadaj konkretne pytania vendorowi: kiedy powstała firma? Kiedy zbudowaliście rdzeń technologiczny? Czy AI jest w rdzeniu czy na krawędziach produktu?
Głębsza analiza
- Sprawdź czy AI rozwiązuje prawdziwy problem: czy system rozumie kontekst między źródłami danych? Czy może prowadzić iteracyjne dochodzenie? Czy zmniejsza hałas, czy tylko dodaje kolejną warstwę?
- Oceń doświadczenie użytkownika produktu: czy opiera się tylko na pustym polu tekstowym? Czy pokazuje użytkownikowi co może robić? Czy wymaga zostania ekspertem promptowania?
Pytania o przyszłość
- Architektura modeli: czy możecie wymieniać modele w miarę postępu? Czy dane pozostają w waszym środowisku? Jaka jest strategia na szybkie zmiany w AI?
Kluczowy insight
Doświadczenie użytkownika wygrywa nad modelami
Standardowo myślimy: W erze AI najważniejszy jest dostęp do najlepszych modeli – GPT-4, Claude, Gemini. Firmy konkurują tym kto ma „najinteligentniejszy” model pod spodem.
W praktyce okazuje się, że: Weatherald wskazuje, że firmy jak Perplexity odnoszą sukces nie przez lepsze modele, ale przez innowacje w doświadczeniu użytkownika. Podobnie Cursor w developmencie – to głównie lepszy interfejs do interakcji z LLM, nie lepszy model.
Dlaczego to jest istotne: W czasie gdy wszyscy skupiają się na wyścigu modeli, prawdziwa przewaga konkurencyjna leży w tym jak łatwo użytkownicy mogą wyciągnąć wartość z AI. Większość produktów AI nadal opiera się na „pustym polu tekstowym”, co łamie podstawowe zasady dobrego doświadczenia użytkownika.
Test na jutro: Następnym razem gdy oceniasz produkt AI, zamiast pytać „jaki model używacie”, zapytaj „jak rozwiązaliście problem pustego pola tekstowego” i sprawdź czy interfejs pokazuje użytkownikowi co może robić.
Ten wpis jest częścią kolekcji notatek z ciekawych podcastów, webinarów i innych treści wartościowych dla branży. Oryginalne źródło: podcast Mnemonic Security – „LLMs in Security Products”
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.