Microsoft презентовала прототип автономного ИИ-агента Project Ire, который может анализировать программные файлы и выявлять скрытый вредоносный софт. Система использует декомпиляторы и другие инструменты, в том числе API-интерфейс на основе Project Freta, а также сторонние и внутренние утилиты.
В разработке Project Ire участвовали команды Microsoft Research, Microsoft Defender Research и Microsoft Discovery & Quantum. ИИ-агент классифицирует ПО без предварительных данных методом реверс-инжиниринга. Он собирает данные, определяет, является ли файл безопасным или вредоносным, а затем формирует проверяемую цепочку доказательств.
Архитектура Project Ire поддерживает анализ на разных уровнях — начиная от низкоуровневой обработки бинарного кода и до восстановления потоков управления и интерпретации поведения программ.
Как отметили в компании, цель Project Ire заключается в снижении нагрузки и количества ошибок среди специалистов, а также в ускорении реагирования на угрозы и усиления защиты от новых атак.
ИИ-агента протестировали на наборе данных драйверов Windows. Он правильно классифицировал 90% файлов, при этом всего 2% легитимных ошибочно пометил как вредоносные. В тесте с 4000 файлов, отобранных для ручного анализа, Project Ire верно определил 9 из 10 опасных, показав уровень ложных срабатываний 4%. Однако при этом было обнаружено только около четверти реально вредоносного ПО.
Microsoft признала, что пока эффективность работы ИИ-агента умеренная, но результаты тестов демонстрируют реальный потенциал для дальнейшего внедрения инструмента. Пока прототип будет использоваться в подразделении Microsoft Defender в качестве анализатора бинарных файлов для выявления угроз и классификации программ. В будущем планируется повысить скорость и точность системы, чтобы она могла корректно оценивать файлы с первого взаимодействия, а в перспективе могла распознавать новые виды вредоносного ПО непосредственно в памяти.
Между тем система поиска уязвимостей с искусственным интеллектом Google Big Sleep уже обнаружила 20 багов в проектах с открытым исходным кодом, включая аудио- и видеобиблиотеку FFmpeg и пакет для редактирования изображений ImageMagick.
Источник: habr.com