Хотя Project Ire пока остаётся лишь прототипом, в Microsoft утверждают: ИИ‑агент способен — по крайней мере, в части случаев — самостоятельно разобрать программное обеспечение, чтобы определить, несёт ли оно угрозу.
Компания сообщает, что разработала опытный образец программы на базе искусственного интеллекта, которая берёт на себя задачу, раньше доступную только высококвалифицированным исследователям кибербезопасности: реверс‑инжиниринг вредоносного кода.
Проект, получивший название Project Ire, призван справляться с одной из самых сложных задач в этой области: полный разбор программного файла без малейших подсказок о его происхождении и назначении, — пояснили в Microsoft в блоге.
В одном из тестов Project Ire сумел верно распознать 90% вредоносных драйверов для Windows, и при этом ошибочно пометил как опасные лишь 2% безвредных файлов. «Такой низкий процент ложных срабатываний даёт все основания рассчитывать на практическое применение технологии в операциях по обеспечению безопасности — вкупе с проверкой экспертами», — заявляют в компании.
https://x.com/MSFTResearch/status/1952761520732967136
Project Ire выгодно отличается от традиционных антивирусов, которые обычно ищут вредоносный код по знакомым последовательностям, шаблонам или типичному поведению, выявленным в прошлых атаках. Но хакеры не стоят на месте: они придумывают новые приёмы маскировки, усложняя обнаружение вредоносных функций. Иногда это использование встроенных возможностей легитимного софта, чтобы позже загрузить вредоносный модуль.
Отрасль информационной безопасности давно применяет ИИ, включая машинное обучение, для улучшения обнаружения угроз. Однако Project Ire от Microsoft идёт дальше, присоединившись к тем, кто использует крупные языковые модели для расследования и выявления потенциально опасного ПО.
«Project Ire пытается решить эти задачи, действуя как автономная система, использующая специализированные инструменты для реверс‑инжиниринга программ. Архитектура системы позволяет анализировать код на нескольких уровнях — от побитового разбора и восстановления управляющих структур до высокоуровневой интерпретации поведения», — добавили в Редмонде.
В блоге Microsoft также рассказали, что ИИ‑программа смогла выявить Windows‑ориентированный руткит и ещё один образец вредоносного кода, предназначенный для отключения антивируса, определив их ключевые признаки. Более того, Project Ire оказался достаточно умным, чтобы составить обвинительное заключение — обоснованную с точки зрения системы причину для автоматической блокировки, что позволило Microsoft пресечь атаку, связанную с элитной хакерской группировкой.
В Project Ire видят помощника для перегруженных работой специалистов по кибербезопасности. Его планируется внедрить в команду, создающую Microsoft Defender, в качестве «бинарного анализатора для выявления угроз и классификации программ».
«Наша цель — увеличить скорость и точность системы, чтобы она могла верно классифицировать файлы любого происхождения, даже при первом контакте», — уточняют в компании.
Тем не менее проект пока остаётся на стадии прототипа, вероятно из‑за существующих ограничений. Так, в другом тесте Microsoft, где проверялись почти 4 тысячи файлов, подлежащих ручному анализу, Project Ire показал высокую точность — 0,89, то есть примерно 9 из 10 помеченных как вредоносные файлов действительно оказались таковыми. Однако он смог выявить лишь около четверти всех реальных угроз в проверочной выборке.
И всё же в Microsoft считают: «Хотя общая эффективность была умеренной, сочетание высокой точности и низкого процента ошибок даёт реальную надежду на внедрение технологии в будущем».
Делегируйте рутинные задачи вместе с BotHub! Сервис доступен без VPN, принимаются российские карты. По ссылке вы можете получить 100 000 бесплатных капсов и приступить к работе с нейросетями прямо сейчас!
Источник: habr.com