मयंक कुमार, डीपटेम्पो में संस्थापक एआई इंजीनियर – साक्षात्कार श्रृंखला

मयंक कुमार डीपटेम्पो में संस्थापक एआई इंजीनियर हैं, जहां वे कंपनी के मूल लॉग भाषा मॉडल (लॉगएलएम) के डिजाइन और विकास का नेतृत्व करते हैं। जनरेटिव और मल्टीमॉडल एआई में मजबूत अकादमिक और शोध पृष्ठभूमि के साथ, वे साइबर सुरक्षा वातावरण में खतरे का पता लगाने और प्रतिक्रिया में सुधार के लिए डोमेन-विशिष्ट मॉडल बनाने में विशेषज्ञता लाते हैं।

डीपटेम्पो एक साइबर सुरक्षा कंपनी है जो लॉगएलएम के आसपास बनाई गई है, जो एक एआई-मूल फाउंडेशन मॉडल है जिसे बड़े पैमाने पर सुरक्षा लॉग डेटा पर प्रशिक्षित किया गया है। यह प्लेटफ़ॉर्म उन्नत, पहले से देखे गए खतरों की पहचान करने में उत्कृष्टता प्राप्त करता है, जबकि झूठे सकारात्मक परिणामों को कम करता है। मौजूदा सुरक्षा कार्य प्रवाह में सहज एकीकरण के लिए डिज़ाइन किया गया, डीपटेम्पो डेटालेक्स, क्यूबेरनेट्स और स्नोफ्लेक में तैनाती का समर्थन करता है, जिससे तेज़ फोरेंसिक, कम डेटा इंगेस्टion लागत और आधुनिक उद्यमों के लिए स्वचालित रक्षा को बढ़ावा मिलता है।

आपको डीपटेम्पो की सह-स्थापना करने के लिए क्या प्रेरित किया, और आपकी अकादमिक अनुसंधान और ओपन-सोर्स एआई पृष्ठभूमि ने कंपनी की दिशा में कैसे योगदान दिया?

मैं एक घनिष्ठ समुदाय में बड़ा हुआ जहां संबंध चेहरे से चेहरे के साथ बनाए गए थे, न कि स्क्रीन के माध्यम से। मेरे पिता, एक शिक्षक, ने मुझमें देने के महत्व को प्रस्तुत किया। जबकि हम सामग्री के मामले में धनी नहीं थे, हम संबंधों और उद्देश्य में समृद्ध थे। उस प्रकार के वातावरण में, आप जल्दी से सीखते हैं कि समस्याओं का समाधान करना व्यक्तिगत प्रतिभा के बारे में नहीं है – यह सामूहिक शक्ति के बारे में है। वह मानसिकता मुझे बनी रही और अंततः मुझे आईआईटी रोपड़ में इंजीनियरिंग का अध्ययन करते समय सामाजिक उद्यमिता में रुचि लेने के लिए प्रेरित किया।

मोड़ तब आया जब मेरे पिता के ब्राउज़र पर एक रैंसमवेयर हमला हुआ। यह केवल एक तकनीकी गड़बड़ी नहीं थी, यह हमारे घर में डर, भ्रम और कमजोरी को पेश किया। उस अनुभव ने मेरी आंखें खोल दीं कि डिजिटल दुनिया कितनी नाजुक है, न केवल व्यक्तियों के लिए, बल्कि संगठनों के लिए भी जो लगातार खतरे का सामना करते हैं। उस समय के आसपास, मैं इवान से मिला, जिसका सामूहिक रक्षा का निर्माण करने का दृष्टिकोण इंटरनेट स्तर पर मुझे गहराई से प्रतिध्वनित हुआ। उस साझा मिशन – और लोगों की सेवा में प्रौद्योगिकी को लागू करने के मेरे प्रयास – यही कारण है कि मुझे डीपटेम्पो में आकर्षित किया गया।

वाशिंगटन विश्वविद्यालय में, मेरा शोध दो मुख्य क्षेत्रों पर केंद्रित था: मल्टीमॉडल प्रतिनिधित्व सीखना और डेटा-केंद्रित एआई। दोनों लॉगएलएम के निर्माण के दौरान महत्वपूर्ण साबित हुए। साइबर सुरक्षा लॉग्स के विपरीत, प्राकृतिक भाषा गंदी, संरचित और खंडित होती है। हमारी पहली चुनौती इस डेटा से अर्थपूर्ण प्रतिनिधित्व सीखने के लिए एक नई “भाषा” का निर्माण करना था, जिससे लॉगएलएम को इन अनुक्रमों से सीखने में सक्षम बनाया जा सके। हमने प्रदर्शन का मूल्यांकन करने के तरीके में भी भारी निवेश किया है क्योंकि सुरक्षा में, सटीकता वैकल्पिक नहीं है, और हॉलुसिनेशन स्वीकार्य नहीं हैं।

लेकिन प्रौद्योगिकी से परे, हमारा उत्तरी तारा हमेशा सामूहिक रक्षा रहा है। यही कारण है कि ओपन-सोर्स सहयोग इस मिशन को बड़े पैमाने पर सफल बनाने के लिए आवश्यक होगा।

डीपटेम्पो में “सामूहिक रक्षा” की अवधारणा क्या है, और यह पारंपरिक साइबर सुरक्षा दृष्टिकोण से कैसे भिन्न है?

अभ्यास में, सामूहिक रक्षा का अर्थ है कि जब एक ग्राहक के लॉगएलएम का एक उदाहरण एक नए हमले व्यवहार की पहचान करता है, तो उस ज्ञान को एक सामान्यीकृत व्यवहार संबंधी हस्ताक्षर में परिष्कृत किया जा सकता है और पूरे पारिस्थितिकी तंत्र में साझा किया जा सकता है। महत्वपूर्ण बात यह है कि इसमें कच्चे लॉग या ग्राहक डेटा को भेजना शामिल नहीं है। इसके बजाय, हम उच्च-विश्वास व्यवहार पैटर्न को स abstract करते हैं और संघीय सीखने की तकनीकों के माध्यम से मॉडल वजन में शामिल करते हैं।

यह पारंपरिक प्रणालियों से एक तीव्र विपरीत है जो या तो एक-आकार-फिट-सभी नियमों या स्थिर खतरे की खुफिया फीड पर भरोसा करती हैं। ये प्रणाली तब तक विकसित नहीं होती हैं जब तक कि कई पीड़ित प्रभावित नहीं हो जाते। सामूहिक रक्षा के साथ, पहचान प्रणाली प्रत्येक उच्च-गुणवत्ता वाले संकेत के साथ विकसित होती है, भले ही खतरा एक विशिष्ट वातावरण के लिए विशिष्ट हो। यह हमें उन्नत खतरों और एलएलएम-संवर्धित एजेंटिक हमले प्रवाह को पकड़ने की अनुमति देता है जो व्यापक होने से पहले ही होते हैं।

उद्यम सुरक्षा में कौन से विशिष्ट अंतराल लॉगएलएम के विकास को प्रेरित करते हैं, और यह पुरानी पहचान प्रणालियों से मूल रूप से कैसे भिन्न है?

उद्यम सुरक्षा टीमें तीन प्रमुख समस्याओं का सामना करती हैं: उच्च शोर-से-संकेत अनुपात, भंगुर पहचान जो वातावरण के बीच स्थानांतरित नहीं होती है, और उभरते खतरों के लिए धीमी अनुकूलन। लॉगएलएम को इन सभी को संबोधित करने के लिए बनाया गया था।

मौजूदा अधिकांश प्रणालियां नियम-आधारित या संकीर्ण एमएल दृष्टिकोण पर भरोसा करती हैं जिन्हें एक नए वातावरण को समझने के लिए कई सप्ताह या महीनों के समायोजन की आवश्यकता होती है। ये दृष्टिकोण तब विफल हो जाते हैं जब हमलावर थोड़ा रणनीति बदलते हैं, जैसा कि हम स्कैटर्ड स्पाइडर या वोल्ट टाइफून जैसे समूहों के साथ देखा है। लॉगएलएम को बड़े पैमाने पर सुरक्षा टेलीमेट्री पर प्रशिक्षित किया जाता है, जिसे एक प्रकार की संरचित भाषा के रूप में माना जाता है। इससे यह जटिल अनुक्रमों को पहचानने में सक्षम होता है, जैसे कि असामान्य बाहरी डीएनएस अनुरोधों में वृद्धि के बाद असामान्य ओक्टा गतिविधि, इसे अलग-अलग विचित्र के रूप में नहीं बल्कि एक खतरे की कथा के हिस्से के रूप में देखता है।

पुराने उपकरणों के विपरीत जो जुड़े हुए अलार्म उत्पन्न करते हैं, लॉगएलएम व्याख्या योग्य, टैक्टिक-स्तर की पहचान करता है। और चूंकि यह पूरी तरह से स्क्रैच से बनाया गया है, इसके बजाय पुनर्निर्देशित या अनुकूलित, यह सुरक्षा से शुरू से ही डिज़ाइन किया गया है, जिससे केवल कुछ दिनों के बिना लेबल वाले लॉग के साथ तेजी से अनुकूलन और अधिक लचीली पहचान संभव हो जाती है।

छाया एजेंट क्या हैं, और वे केंद्रीय पर्यवेक्षण के बिना संचालित होने वाले संगठनों के लिए कैसे जोखिम पैदा करते हैं?

छाया एजेंट स्वायत्त एआई टूल हैं, अक्सर एलएलएम पर बनाए गए, जो सुरक्षा टीम से स्पष्ट अनुमोदन या दृश्यता के बिना एक उद्यम के भीतर संचालित होते हैं। एक हालिया उदाहरण एमआईटीआरई का सीवीई-2025-32711 (“इकोलीक”) है, माइक्रोसॉफ्ट 365 कोपायलट में एक जीरो-क्लिक कमजोरियां जो इसे ईमेल का सारांश देने के लिए कहते ही ट्रिगर हो जाती है। यह दोष अंतर्निहित डेटा को एजेंट के आरएजी संदर्भ के माध्यम से निकालने की अनुमति देता है, बिना उपयोगकर्ता बातचीत के। जबकि ये एजेंट उत्पादकता में सुधार कर सकते हैं, वे अक्सर सुरक्षा समीक्षा को बायपास करते हैं और संवेदनशील डेटा को नियंत्रित अनुमान परतों के लिए उजागर करते हैं।

हमने मामलों को देखा है जहां एक छाया एजेंट को एक सार्वजनिक एलएलएम के साथ बनाया गया था और इसे सिस्टम लॉग्स के सposure किया गया था और हार्डकोडेड प्रमाणीकरण वाले स्टैक ट्रेस को रिसाव करना शुरू कर दिया था। ये एजेंट आमतौर पर डीएलपी नियंत्रणों के साथ साधन नहीं होते हैं, पहुंच नीतियों का पालन नहीं करते हैं और नहीं होते हैं ऑडिट किया गया। और भी बुरा, क्योंकि वे निर्णय ले सकते हैं, जैसे कि बाहरी प्रणालियों को आउटपुट अग्रेषित करना, वे स्वयं हमले की सतह बन जाते हैं। प्रॉम्प्ट इंजेक्शन या प्रतिकूल श्रृंखला के संदर्भ में, एक एजेंट को डाउनस्ट्रीम क्रियाओं को ट्रिगर करने के लिए मजबूर किया जा सकता है जो वास्तविक प्रभाव डालते हैं।

प्रॉम्प्ट इंजेक्शन और मॉडल मैनिपुलेशन गंभीर खतरे क्यों बन रहे हैं, और वर्तमान प्रणालियां उन्हें क्यों नहीं पकड़ती हैं?

प्रॉम्प्ट इंजेक्शन खतरनाक है क्योंकि यह मॉडल की मूल कार्यक्षमता का शोषण करता है: प्राकृतिक भाषा की व्याख्या। अधिकांश उद्यम प्रणालियां मॉडल आउटपुट को विश्वसनीय मानती हैं, लेकिन यदि मॉडल को छिपी हुई निर्देश प्राप्त होते हैं, तो उपयोगकर्ता टिप्पणी, एपीआई कॉल या यहां तक कि एक फ़ाइल नाम में निहित, तो इसे अनजाने क्रियाओं में धोखा दिया जा सकता है। हमने देखा है कि विरोधी इसका उपयोग क्रेडेंशियल्स को चैट इतिहास से निकालने, उपयोगकर्ताओं की नकल करने या इनपुट सत्यापन को बायपास करने के लिए करते हैं।

गहरा मुद्दा यह है कि एलएलएम को सुसंगतता के लिए अनुकूलित किया जाता है, न कि सुरक्षा के लिए। जैसा कि हमने रॉयल सोसाइटी के अध्ययन के हमारे हालिया उत्तर में अन्वेषण किया है, मॉडल फ्लुएंसी और सामान्यता को सावधानी और सटीकता पर प्राथमिकता देते हैं। यहां तक कि उन्हें “अधिक सटीक” होने के लिए प्रेरित करना भी प्रतिकूल प्रभाव डाल सकता है, जिससे अधिक आत्मविश्वासी लेकिन अभी भी गलत प्रतिक्रियाएं हो सकती हैं। और प्रतिकूल मॉडल मैनिपुलेशन एक दीर्घकालिक चिंता का विषय है। हमलावर डेटासेट को जहर दे सकते हैं या समय के साथ संरचित प्रश्नों को दोहराकर आउटपुट को धीरे-धीरे एक अधिक अनुमति देने वाले व्यवहार संबंधी स्थान में धकेल सकते हैं। यहां पता लगाने के लिए पूरी श्रृंखला लॉगिंग, निरंतर मूल्यांकन और मॉडल-स्तर के सैंडबॉक्सिंग जैसी तकनीकों की आवश्यकता होती है, जो अधिकांश उद्यम प्रणालियों ने अभी तक अपनाई नहीं हैं।

टेम्पो एमआईटीआरई एटी एंड टी सी के मappings का उपयोग कैसे करता है ताकि कार्रवाई योग्य खुफिया जानकारी प्रदान की जा सके, न कि केवल कच्चे अलार्म?

टेम्पो अपनी पहचान को एमआईटीआरई एटी एंड टी सी टैक्टिक्स और तकनीकों के साथ मैप करता है, दोनों पर्यवेक्षित वर्गीकरणकर्ताओं और असुपरवाइज्ड व्यवहार श्रृंखला का उपयोग करके। जब प्रणाली एक अनुक्रम जैसे संदिग्ध पावरशेल निष्पादन, रजिस्ट्री कुंजी संशोधन और असामान्य बाहरी यातायात को देखती है, तो यह केवल प्रत्येक चरण पर अलर्ट नहीं करती है, यह अनुक्रम को निष्पादन > रक्षा बचाव > निकासी के रूप में टैग करती है, जो ज्ञात एमआईटीआरई एटी एंड टी सी आईडी से मेल खाती है।

यह रक्षकों को तुरंत समझने की अनुमति देता है कि दुश्मन का उद्देश्य क्या है और वह मारने वाली श्रृंखला में कहां है। हम समृद्धि भी प्रदान करते हैं: प्रभावित संस्थाएं, संबंधित लॉग, और विश्वास स्कोर। यह संरचित दृष्टिकोण एसओसी विश्लेषकों के लिए संज्ञानात्मक भार को कम करता है और प्रतिक्रिया कार्य प्रवाह को तेज करता है, टीमें जानती हैं कि कौन सी रणनीति का उपयोग किया गया था, इसके क्या कारण थे, और अगला कदम क्या होने की संभावना है। यह अलर्ट थकान प्रणालियों से एक बड़ा कदम है जो प्रत्येक विचित्र पर आग लगाती है बिना कथा संदर्भ के।

डीपटेम्पो एसआईईएम (सुरक्षा सूचना और घटना प्रबंधन) प्रणालियों के ऊपर क्यों काम करता है, और यह सुरक्षा टीमों के लिए खतरे का पता लगाने और संचालन को सुव्यवस्थित करने के लिए स्थिति को कैसे बढ़ाता है?

एसआईईएम आमतौर पर लॉग को सामान्य बनाने और फ़िल्टर करने के लिए लॉग इनगेस्टion लागत को कम करने के लिए। लेकिन ऐसा करने में, वे अक्सर मूल्यवान संदर्भ खो देते हैं, जैसे कि सटीक टाइमस्टैम्प, लेटेंसी स्पाइक्स या अल्पकालिक सत्र व्यवहार। डीपटेम्पो एसआईईएम से पहले काम करता है, एसआईईएम में परिवर्तन से पहले कच्ची टेलीमेट्री को अवशोषित करता है। इससे हम समृद्ध व्यवहार संबंधी पैटर्न को मॉडल करने में सक्षम होते हैं, जैसे कि सेवा टोकन पुन: उपयोग के साथ थोड़ा समय विविधता या दुर्लभ एपीआई कॉल अनुक्रम जो एसआईईएम थ्रेशोल्ड से कभी गुजरेंगे नहीं।

एसआईईएम से पहले काम करने से हमें अलार्म को कम करने की अनुमति मिलती है इससे पहले कि यह एसआईईएम तक पहुंचे। इसके बजाय, हम 50-100 उच्च-संदर्भ घटनाओं को पूरे एमआईटीआरई एटी एंड टी सी समृद्धि और मॉडल-आधारित स्कोरिंग के साथ पारित करते हैं। टीमें कम समय त्रुटि करने में बिताती हैं और अधिक समय जांच करने में बिताती हैं जो मायने रखती हैं। यह एसआईईएम स्टोरेज और कंप्यूट लागत को भी कम करता है, जो बड़े वातावरण में महत्वपूर्ण हो सकता है।

टेम्पो को नए वातावरण में मॉडल को फ़ाइन-ट्यून करने में क्या सक्षम बनाता है, और यह पारंपरिक मशीन लर्निंग कार्य प्रवाह से कैसे तुलना करता है?

पारंपरिक एमएल प्रणालियों को अक्सर नए वातावरण के अनुकूलन के लिए कई सप्ताह के लेबल वाले डेटा और पुन: प्रशिक्षण की आवश्यकता होती है। टेम्पो एक मूलभूत रूप से अलग दृष्टिकोण लेता है। इसके बजाय शुरू से शुरू करने के, यह एक पूर्व-प्रशिक्षित मॉडल का लाभ उठाता है जो वास्तविक दुनिया के नेटवर्क टेलीमेट्री जैसे नेटफ्लो और वीपीसी फ्लो डेटा पर बनाया गया है। इससे इसे यातायात प्रवाह और व्यवहार के सामान्य रूप से समझने में मदद मिलती है विभिन्न वातावरण में।

जब टेम्पो एक नए सेटिंग में तैनात किया जाता है, तो यह लेबल वाले डेटा या लंबे समय तक सीखने की आवश्यकता नहीं है। यह केवल कुछ दिनों की स्थानीय नेटवर्क गतिविधि का उपयोग करके एक बेसलाइन स्थापित करता है और खुद को उस वातावरण के लिए विशिष्ट पैटर्न का पता लगाने के लिए समायोजित करता है, जैसे कि असामान्य बाहरी घंटे तक पहुंच, सेवा-से-सेवा संचार विचित्रता या अप्रत्याशित डेटा आंदोलन। यह घंटों में होता है, सप्ताह नहीं।

चूंकि प्रक्रिया स्व-पर्यवेक्षित है, सुरक्षा टीमों को मैन्युअल रूप से घटनाओं को झंडा या लेबल करने की आवश्यकता नहीं है। और परिवेश के रूप में विकसित होने के लिए, हमने मॉडल को “भूलने” की अनुमति देने के लिए स्नैपशॉट तंत्र बनाए हैं जब बुनियादी ढांचे या नीतियां बदलती हैं। नेटवर्क स्तर पर काम करने से हमें खतरों का पता लगाने और पारंपरिक एंडपॉइंट- या लॉग-केंद्रित सुरक्षा उपकरणों की तुलना में अधिक व्यापक रूप से पता लगाने की अनुमति मिलती है।

डीपटेम्पो गतिशील क्लाउड वातावरण में उच्च सटीकता को बनाए रखने के साथ-साथ झूठे सकारात्मक परिणामों को कम करने के लिए कैसे प्रबंधन करता है?

हम समय मॉडलिंग के साथ संदर्भ-जागरूक नेटवर्क व्यवहार विश्लेषण को जोड़ते हैं, जो सीधे नेटफ्लो और वीपीसी फ्लो लॉग पर आधारित है। हमारे शाही अनुक्रम जनरेशन दृष्टिकोण के साथ बड़े पैमाने पर प्री-प्रशिक्षित ट्रांसफॉर्मर-आधारित गहरे शिक्षण एल्गोरिदम को जोड़कर, हम नेटवर्क घटनाओं को समय के साथ कैसे अनुभव करते हैं। हम एक अकेले विफल लॉगिन पर अलर्ट नहीं करते हैं, लेकिन हम एक विफल लॉगिन के बाद एक नए डिवाइस से सफल लॉगिन, लेटरल मूवमेंट और असामान्य डेटा एक्सेस को अलर्ट करते हैं। यह परतदार समय संदर्भ फ़िल्टर आउट शोर को उजागर करता है और वास्तविक और नए खतरों को उजागर करता है।

दूसरा, हम संदर्भ में उपयोगकर्ता और सेवा व्यवहार को प्रोफाइल करते हैं। एक क्यूबेरनेट्स नोड 12 बार रीस्टार्ट होना अपडेट के दौरान सामान्य है, लेकिन 2 बजे संदिग्ध है अगर इसके बाद एक नए रजिस्ट्री से कंटेनर तैनाती होती है। टेम्पो इसे पहचानता है क्योंकि यह अनुक्रम, समय और संदर्भ को एक साथ देखता है। इसके अलावा, हमारी सक्रिय सीखने वाली पाइपलाइन विशिष्ट पहचान शैलियों पर जानकारी एकत्र करती है और विश्लेषकों से प्रतिक्रिया का उपयोग करके मॉडल के कुछ मापदंडों को फ़ाइन-ट्यून करती है यदि यह प्रदर्शन में ड्रिफ्ट या डेटा में परिवर्तन का पता लगाती है। हम अपने पता लगाने को कच्चे, उच्च-विश्वास वाले नेटवर्क मेटाडेटा पर बनाते हैं, जो समय बुद्धिमत्ता के साथ व्यवहार संबंधी बेसलाइनिंग को जोड़ती है, जिससे उच्च-सटीक अलर्ट मिलते हैं – यहां तक कि क्लाउड वातावरण में भी जो पलक झपकते ही बदलते रहते हैं।

आपकी प्रणाली में व्याख्या करने योग्यता की भूमिका क्या है, और आप अलार्म के साथ उपयोगी और व्याख्या योग्य संदर्भ कैसे सुनिश्चित करते हैं?

टेम्पो में प्रत्येक पहचान में एक सारांश, अंतर्निहित लॉग साक्ष्य, और अनुमानित रणनीति (जैसे, क्रेडेंशियल एक्सेस के माध्यम से ब्रूट फोर्स) शामिल है। हम संबंधित संस्थाओं, उपयोगकर्ताओं, एंडपॉइंट्स, क्लाउड संसाधनों का एक ग्राफ भी प्रदान करते हैं, ताकि एसओसी टीमें घटना को दृश्य化 कर सकें। लक्ष्य “ब्लैक बॉक्स” प्रभाव को खत्म करना है जो कई एआई प्रणालियों को प्रभावित करता है।

हमने शुरुआती प्रोटोटाइप में लाइम और शाप जैसे अकादमिक व्याख्या उपकरणों से उधार लिया, लेकिन पाया कि वे विश्लेषकों के लिए स्पष्ट नहीं थे। इसलिए, हम एक सादा भाषा की कथा उत्पन्न करते हैं: क्या हुआ, कब, क्यों यह संदिग्ध है, और हम कितने आत्मविश्वासी हैं। यह न केवल स्पष्टता के बारे में है, यह टियर-वन विश्लेषकों को हर अलर्ट को बढ़ाने की आवश्यकता के बिना कार्रवाई करने में सक्षम बनाने के बारे में है।

हमलावरों द्वारा एआई और फाउंडेशन मॉडल का उपयोग करने के दीर्घकालिक जोखिम क्या हैं, और डीपटेम्पो इसे कैसे आगे रहने की योजना बना रहा है?

खतरे का परिदृश्य एक चरण में प्रवेश कर रहा है जहां हमलावर स्व-सीखने वाले एआई एजेंट तैनात कर सकते हैं जो दिन-रात हमले के लिए प्रोबिंग कर सकते हैं, पेलोड को उड़ा सकते हैं और वैध उपयोगकर्ता व्यवहार की नकल कर सकते हैं। यह मूल रूप से एक मौलिक परिवर्तन है, यह अब शून्य-दिन के बारे में नहीं है, लेकिन गति, पुनरावृत्ति और धोखाधड़ी के बारे में है।

हम इसके लिए तैयारी कर रहे हैं प्रतिकूल प्रशिक्षण, अपस्ट्रीम पहचान और व्यवहार संबंधी मॉडलिंग में निवेश करके जो ज्ञात संकेतकों पर निर्भर नहीं करता है। हमारा लक्ष्य खतरनाक व्यवहार की संरचना की पहचान करना है इससे पहले कि यह बढ़े। हम एआई-जनित हमलावर यातायात को फिंगरप्रिंट करने के तरीकों की भी खोज कर रहे हैं, जैसा कि हमने एक बार बॉटनेट्स के लिए किया था, ताकि रक्षक यहां तक कि जब पेलोड लगातार बदलते रहते हैं तो गतिविधि को झंडा दे सकें।