RedSage: A Cybersecurity Generalist LLM

Het paper introduceert RedSage, een open-source cybersecurity-assistent die door middel van domeinspecifieke voortgezette pretraining en agentische augmentatie de prestaties op zowel cybersecurity- als algemene LLM-benchmarks significant verbetert.

De kern

🛡️ RedSage: De Digitale Bodyguard die Eindelijk "Cyber" Begrijpt

Stel je voor dat je een zeer slimme assistent hebt, zoals een superintelligente robot die alles weet over de wereld. Maar als je hem vraagt: "Hoe hak ik een beveiligde server in?" of "Wat betekent deze vreemde foutmelding in mijn firewall?", dan kijkt hij je misschien raar aan. Hij is slim, maar hij is geen cybersecurity-expert. Hij kent de regels van de wereld, maar niet de trucs van de hackers.

Tot nu toe waren er twee opties:

1. Geheime experts: Grote bedrijven hebben slimme robots die dit wel kunnen, maar je moet ze huren via de cloud. Je data moet dan naar hen toe, wat gevaarlijk is als je geheime bedrijfsgeheimen wilt beschermen.
2. Openbare amateurs: Er zijn gratis robots, maar die zijn niet specifiek getraind op hackers en beveiliging. Ze maken veel fouten of weten niet hoe ze beveiligingstools moeten gebruiken.

RedSage is de oplossing die dit probleem oplost. Het is een gratis, openbare robot die je lokaal op je eigen computer kunt draaien (dus je data blijft veilig bij jou), maar die net zo slim is als die dure experts.

---

🏗️ Hoe hebben ze RedSage gebouwd? (De Bouwstappen)

De onderzoekers hebben RedSage niet zomaar "geboetseerd". Ze hebben een heel specifiek bouwplan gevolgd, vergelijkbaar met het trainen van een olympisch atleet.

1. De Basis: Het "Cyber-Universum" lezen (Continual Pretraining)

Stel je voor dat je een student wilt trainen tot top-cyberveiligheidsexpert. Je kunt hem niet alleen een handboek geven; hij moet de hele bibliotheek van internet lezen, maar dan alleen de boeken over beveiliging.

• Wat deden ze? Ze namen een enorme hoeveelheid internetteksten (11,8 miljard woorden!) en filterden daar alles uit wat over cybersecurity gaat. Denk aan handleidingen, forums, en documenten over hacking.
• De Analogie: Het is alsof je een student 10 jaar lang in een bibliotheek zet die alleen gevuld is met boeken over lockpicken, muren en alarmen, zodat hij de taal van de beveiliging "in zijn vingers" krijgt.

2. De Praktijk: De "Agent" die Oefent (Agentic Augmentation)

Lezen is één ding, maar doen is iets anders. Een student die alleen theorie kent, faalt in de praktijk.

• Wat deden ze? Ze gebruikten een slimme "Agent" (een andere AI) om duizenden oefensessies te creëren. Deze agent simuleerde een gesprek tussen een senior beveiligingsexpert en een leerling.
• De Analogie: In plaats van alleen een boek te lezen, laat je de student nu 266.000 keer oefenen in een simulatie. De "Agent" zegt: "Oké, stel dat je deze server moet testen. Wat doe je?" en de student moet het antwoord bedenken. Zo leert RedSage niet alleen feiten, maar ook hoe hij moet denken en handelen in een echte crisis.

3. De Examen: De "RedSage-Bench"

Hoe weet je of de student echt slim is? Je geeft hem een examen.

• Wat deden ze? Ze maakten een nieuw, zeer moeilijk examen met 30.000 vragen. Dit examen test niet alleen of hij feiten kent (zoals "wat is een firewall?"), maar ook of hij vaardigheden heeft (hoe maak ik een script?) en of hij tools kent (hoe gebruik ik dit specifieke commando in Linux?).
• De Analogie: Het is als een rijexamen. Je kunt de verkeersregels wel uit je hoofd kennen, maar kun je ook echt veilig parkeren en schakelen? RedSage-Bench test of hij écht kan "rijden" in de digitale wereld.

---

🏆 Het Resultaat: De Winnaar

Toen ze RedSage op het examen legden, gebeurde er iets verrassends:

• Hij won: RedSage scoorde beter dan alle andere gratis modellen, en zelfs beter dan sommige dure, gespecialiseerde modellen.
• Hij is slim in alles: Het mooie is dat door deze speciale training, RedSage niet alleen beter werd in beveiliging, maar ook in algemene logica. Het is alsof je een atleet traint voor de marathon, en hij blijkt daardoor ook beter te worden in het tillen van zware gewichten.
• Privacy: Omdat RedSage op je eigen computer draait (op een gewone videokaart), hoeft je data nooit naar een grote cloud. Je kunt hem gebruiken om gevoelige gegevens te analyseren zonder dat iemand anders het ziet.

🚀 Waarom is dit belangrijk?

Vroeger moest je kiezen tussen privacy (lokaal draaien) of kwaliteit (de slimme modellen van Google/OpenAI).
Met RedSage hoef je niet meer te kiezen. Het is een gratis, openbare "cyber-bodyguard" die je zelf kunt installeren, die alles weet over hackers en beveiliging, en die je kunt vertrouwen met je geheimen.

Kort samengevat:
RedSage is de eerste gratis robot die niet alleen "weet" wat cybersecurity is, maar er ook écht "in" is getraind, zodat hij je kan helpen bij het oplossen van echte beveiligingsproblemen, zonder dat je je data hoeft te delen met grote bedrijven.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "RedSage: A Cybersecurity Generalist LLM" in het Nederlands:

Probleemstelling

Cybersecurity-operaties vereisen assistenten die diverse workflows ondersteunen zonder gevoelige data bloot te stellen. Bestaande oplossingen kampen met twee grote tekortkomingen:

1. Privacyrisico's: Veel tools vertrouwen op gesloten API's van derden, wat het risico op datalekken met zich meebrengt.
2. Gebrek aan domeinspecialisatie: Open-source modellen missen vaak adequate aanpassing (domain adaptation) aan de complexe wereld van cybersecurity. Bestaande gespecialiseerde modellen focussen vaak slechts op één trainingsfase (bijv. alleen pre-training of alleen fine-tuning) en gebruiken beperkte datasets. Daarnaast zijn bestaande benchmarks vaak incompleet; ze testen vaak alleen kennis (MCQ's) maar missen praktische vaardigheden, tool-gebruik en kwalitatieve evaluatie van open vragen.

Methodologie

De auteurs introduceren RedSage, een open-source, lokaal inzetbaar LLM (8B parameters) dat is opgeleid via een data-gedreven pijplijn bestaande uit drie hoofdfasen:

1. Continue Pre-training (CPT) met CyberFineWeb

• Data-filtering: Uit de enorme FineWeb-corpus (afkomstig van Common Crawl) werd een gespecialiseerd cybersecurity-deel geëxtraheerd. Hiervoor werd een binaire classificatiemodel (gebaseerd op ModernBERT) getraind om cybersecurity-gerelateerde teksten te filteren. Dit resulteerde in een kandidaat-pool van ~125 miljoen documenten.
• Preventie van Catastrophic Forgetting: Om algemene kennis niet te verliezen, werd dit corpus gemengd met 30% FineWeb-Edu (algemene educatieve data).
• Deduplicatie en Selectie: Na globale deduplicatie en selectie van de meest recente chunks ontstond het CyberFineWeb-corpus van ongeveer 11,7 miljard tokens.
• Curated Seed Data: Daarnaast werd RedSage-Seed samengesteld uit 28.637 hoogwaardige, handgecurateerde bronnen (frameworks zoals MITRE ATT&CK, OWASP, hacking tutorials, en tool-documentatie zoals Kali Linux en CLI-cheatsheets).

2. Agente Augmentatie voor Supervised Fine-Tuning (SFT)
Om de dataset te vergroten en realistische dialogen te creëren, werd een agente augmentatie-pijplijn ontwikkeld:

• Planner Agent: Analyseert de "seed data" en stelt strategieën op voor hoe deze omgezet kan worden in conversaties (bijv. rollenspellen tussen een pentester en een analist).
• Augmenter Agent: Genereert op basis van deze plannen realistische, multi-turn dialogen.
• Resultaat: Dit proces transformeerde de seed data in 266.000 multi-turn conversaties (RedSage-Conv), wat de dataset met een factor 9,2 vergrootte.
• General Instruction: Om het model ook algemene instructies te laten volgen, werd deze cybersecurity-data gecombineerd met niet-redenerende instructiedata van SmolLM3.

3. Direct Preference Optimization (DPO)
Na de SFT-fase werd het model verder verfijnd met Direct Preference Optimization (DPO) op basis van het Tulu 3 Preference Mixture dataset. Dit zorgt voor betere uitlijning met menselijke voorkeuren en helpt bij het genereren van nuttigere en veiligere antwoorden.

4. RedSage-Bench (Benchmarks)
Om de prestaties rigoureus te evalueren, werd een nieuwe benchmark ontwikkeld: RedSage-Bench.

• Opbouw: Bevat 30.000 meerkeuzevragen (MCQ's) en 240 open-ended Q&A-items.
• Domeinen: Dekking van Kennis (theorie), Vaardigheden (offensieve technieken) en Tool-gebruik (CLI, Kali Linux).
• Validatie: Gebruik van een "LLM-as-Judge" met chain-of-thought prompting en menselijke verificatie om de kwaliteit en factualiteit te garanderen.

Belangrijkste Bijdragen

1. Grootschalige Data: Samenstelling van een uniek corpus van 11,8 miljard tokens specifiek voor cybersecurity, inclusief zowel gefilterde webdata als handgecurateerde bronnen.
2. Agente Augmentatie: Een innovatieve aanpak om gespecialiseerde bronnen om te zetten in diverse, realistische trainingsdialogen, wat de datakwaliteit en -hoeveelheid aanzienlijk verhoogt.
3. Uitgebreide Benchmark: Introductie van RedSage-Bench, het eerste benchmark dat gelijktijdig kennis, praktische vaardigheden en tool-vaardigheden evalueert, inclusief kwalitatieve beoordeling van open vragen.
4. Open Source Model: Publicatie van RedSage (8B), inclusief alle data, code en trainingsscripts, wat reproduceerbaarheid en lokale, privacy-bewuste inzet mogelijk maakt.

Resultaten

RedSage werd getest op zowel de eigen benchmark als bestaande benchmarks (CTI-Bench, CyberMetric, SECURE, SecEval) en algemene LLM-benchmarks (Open LLM Leaderboard).

• Cybersecurity Prestaties:

  • RedSage (8B) behaalde State-of-the-Art (SOTA) resultaten op cybersecurity-benchmarks.
  • Het presteerde tot +5,59 punten beter dan de beste basismodellen op cybersecurity-taken.
  • Het overtrof gespecialiseerde concurrenten zoals Foundation-Sec en Llama-Primus significant, zelfs op de 8B-schaal.
  • Het model toonde sterke prestaties in tool-gebruik (CLI en Kali), een gebied waar veel andere modellen tekortschieten.

• Algemene Prestaties:

  • Op de Open LLM Leaderboard (ARC, MMLU, GSM8K, etc.) behaalde RedSage consistente verbeteringen ten opzichte van de basismodellen (tot +5,05 punten).
  • Het model behaalde betere resultaten dan Qwen3-32B op sommige algemene taken, wat aantoont dat domeinspecialisatie de algemene redeneercapaciteit kan versterken in plaats van te belemmeren.

• Efficiëntie:

  • Het model is klein genoeg (8B parameters) om lokaal te draaien op consumenten-GPU's, wat privacy en on-premise inzet mogelijk maakt zonder afhankelijkheid van cloud-API's.

Betekenis en Impact

RedSage markeert een belangrijke stap in de ontwikkeling van AI voor cybersecurity. Het bewijst dat een combinatie van domeinbewuste continue pre-training, agente data-augmentatie en rigoureuze evaluatie leidt tot modellen die niet alleen expertkennis hebben, maar ook praktisch toepasbaar zijn in real-world workflows.

De beschikbaarheid van het model, de datasets en de code als open-source project lost het probleem van "black box" cybersecurity-tools op en stimuleert de gemeenschap om transparante, reproduceerbare en ethische AI-oplossingen te bouwen. Het biedt organisaties de mogelijkheid om krachtige cybersecurity-assistenten lokaal in te zetten, wat cruciaal is voor de bescherming van gevoelige data in een tijdperk van geavanceerde bedreigingen.