SecurityMedia выложила бесплатную базу киберугроз для LLM-агентов: весь стек на одном сервере
Компания SecurityMedia представила открытый проект: специализированную базу данных киберугроз, спроектированную для работы с LLM-агентами (большими языковыми моделями в роли автономных помощников), и опубликовала подробный разбор архитектуры на securitymedia.org в июне 2025 года.

Обычный векторный поиск по документам не справляется с данными о киберугрозах: здесь критичны дата публикации, надёжность источника и конкретные индикаторы компрометации (IoC), а не просто «похожий абзац». Проект показывает, как собрать рабочую систему без избыточного стека технологий.
Стандартные RAG-пайплайны (Retrieval-Augmented Generation, когда ИИ-агент ищет ответ по внешней базе документов) хорошо работают с однородными текстами. Но данные Threat Intelligence (TI, разведка киберугроз) устроены иначе: вчерашний бюллетень об атаке ценнее пересказа двухлетней давности, а строка с конкретным номером уязвимости важнее целого абзаца с общими словами про VPN. Авторы проекта на securitymedia.org детально описали, как они решили эту задачу на минимальном наборе компонентов.
| Что | Когда | Кто выпустил | Цена |
|---|---|---|---|
| База данных киберугроз для LLM-агентов с комбинированным поиском, управлением источниками и поддержкой STIX/TAXII | Июнь 2025 | SecurityMedia (securitymedia.org) | Бесплатно, открытый проект |
Что решает проект и почему это не «ещё один поиск по PDF»?
-
Разбиение по смыслу, а не по количеству токенов. Текст делится на фрагменты по границам разделов документа. Это значит, что ИИ-агент получает цельный контекст, а не обрезанный на полуслове кусок.
-
Автоматическое извлечение IoC. Система находит в тексте CVE-номера (идентификаторы уязвимостей), IP-адреса, домены, URL, хэши файлов, техники MITRE ATT&CK (классификатор методов атак) и названия вредоносного ПО. Для этого используются регулярные выражения и словари, без отдельной модели.
-
Учёт свежести по типу документа. Новость об атаке теряет ценность быстро, а справочное описание старой уязвимости остаётся полезным годами. Система различает эти случаи при ранжировании результатов.
-
Прозрачность ответа. Каждый найденный фрагмент возвращается с источником, URL, датой публикации и объяснением оценки. ИИ-агент не просто получает текст, он знает, откуда текст взялся.
-
Минимальный стек без Redis, Celery и графовой БД. Очередь задач из четырёх состояний живёт прямо в Postgres. Связи между сущностями хранятся в обычных таблицах. Это упрощает развёртывание и отладку.
-
Дедупликация до скачивания. При повторном сборе RSS система проверяет дубли по нескольким признакам ещё до загрузки полной статьи, что экономит и трафик, и ресурсы процессора.
Стек целиком помещается на один сервер
Авторы выбрали FastAPI для приёма запросов, Postgres с расширением pgvector для хранения документов, фрагментов, сущностей и векторных представлений, а MinIO для исходных файлов. Модель BAAI/bge-m3 превращает каждый фрагмент текста в набор чисел (вектор), описывающий его смысл. Все вычисления идут локально.
Для PDF используется PyMuPDF, а если страница почти пустая, подключается оптическое распознавание Tesseract. RSS обрабатывается в два шага: сначала заголовок и ссылка, затем полный текст. CVE принимаются как готовые JSON-записи.
Каждый обработанный документ записывается одной транзакцией: либо в базе появляется всё, либо ничего. Полусобранного документа с текстом, но без векторов, остаться не может.
Первый сбор RSS обрушил систему, и это оказалось полезно
Показательная деталь из разбора: при загрузке 48 RSS-лент с лимитом до 100 записей на источник контейнер API упал на 374-м документе с ошибкой нехватки памяти. Один ответ FeedBurner прокачал около 1,3 ГБ трафика. Задание осталось в статусе «выполняется», хотя выполнять его было уже некому.
Авторы вынесли из этого конкретные уроки: разделили API и фоновый обработчик, добавили восстановление «зависших» заданий и стали обновлять статус чаще. Этот опыт ценен для любого, кто строит подобные пайплайны: сбой на реальных данных обнажает проблемы, невидимые на тестовых.
Как попробовать?
- Перейдите на securitymedia.org и найдите репозиторий проекта с исходным кодом и документацией.
- Разверните стек локально: потребуются Docker, Postgres с pgvector и MinIO. Всё помещается на одну машину.
- Загрузите первые источники: PDF-отчёты, RSS-ленты или CVE-записи через HTTP API (FastAPI).
- Подключите своего LLM-агента к API поиска и проверьте, как система возвращает фрагменты с атрибуцией источника.
Есть ли аналоги в России?
Прямого аналога, открытой TI-базы, заточенной под LLM-агентов, в российских продуктах пока нет. Существуют коммерческие платформы Threat Intelligence от «Лаборатории Касперского» (Kaspersky Threat Intelligence Portal) и Positive Technologies (PT Threat Analyzer), но они работают как классические TI-сервисы, без встроенной интеграции с языковыми моделями. YandexGPT и GigaChat могут анализировать тексты по кибербезопасности, если подать им контекст вручную, но готового пайплайна с извлечением IoC и ранжированием по свежести у них нет.
Описанный проект интересен именно тем, что его можно развернуть на локальной инфраструктуре и подключить к любой модели, включая российские.
Проект ценен не столько кодом, сколько честным разбором архитектурных решений. Авторы показали, где «простой векторный поиск» ломается на реальных данных, и объяснили, почему они отказались от популярных, но избыточных компонентов вроде Redis и LangChain. Для тех, кто строит ИИ-агентов в любой предметной области, не только в кибербезопасности, это готовый набор граблей, на которые можно не наступать.
Оговорка: у проекта пока нет веб-интерфейса, это инструмент для разработчиков и технических специалистов. Автору Дзена или маркетологу без технического фона развернуть его самостоятельно будет непросто. Но если в команде есть разработчик, попросите его посмотреть архитектуру: подход к дедупликации и атрибуции источников пригодится в любом RAG-проекте, хоть для юридических документов, хоть для медицинских справочников.
Что сделать сегодня: прочитайте полный разбор на securitymedia.org и оцените, применим ли подход к вашим задачам. Если вы работаете с киберугрозами, разверните прототип и загрузите свои RSS-источники. Если нет, возьмите на заметку принцип: данные с разным сроком годности нельзя искать одинаково.
Частые вопросы
Нужно ли платить за использование?
Нет. Проект опубликован как открытый, все компоненты (Postgres, pgvector, MinIO, FastAPI) тоже бесплатны. Модель BAAI/bge-m3 для построения векторов работает локально, без платных API.
Можно ли использовать это не для кибербезопасности?
Архитектура универсальна: разбиение по границам разделов, извлечение сущностей, атрибуция источников и учёт свежести пригодятся в любой области, где документы устаревают с разной скоростью. Придётся заменить правила извлечения сущностей (вместо CVE-номеров, например, номера судебных дел или артикулы товаров), но каркас останется тем же.
Справится ли обычный ноутбук?
Для тестирования с несколькими десятками документов, да. Модель bge-m3 и pgvector работают на CPU. Но опыт авторов показывает, что при загрузке десятков RSS-лент с сотнями записей ресурсов нужно заметно больше: их контейнер упал на 374-м документе из-за нехватки памяти. Для рабочей инсталляции лучше выделить сервер с запасом оперативной памяти.

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».
Читайте также

Машинное обучение в химии: как найти кандидата в лекарство за дни вместо 15 лет
Фармацевтическая разработка лекарств занимает от десяти до пятнадцати лет и обходится в миллиарды долларов, но машинное обучение в химии позволяет сократить…

Microsoft сокращает 4800 сотрудников office и Xbox: ИИ меняет приоритеты, но «не заменяет людей»
Microsoft в начале нового финансового года сокращает 4800 сотрудников, около 2,1% штата, и основной удар приходится на коммерческие продажи и игровое…

Google по умолчанию включил сбор фото и аудио для обучения ИИ: как отключить сохранение данных
Google без лишнего шума начал сохранять фото, аудио и видео из поиска, Карт и Переводчика для обучения своих нейросетей, и большинство пользователей уже…
Комментарии