Project Ire, ИИ-прототип от Microsoft, автономно анализирует вредоносное ПО

Хотя Project Ire пока остаётся лишь прототипом, в Microsoft утверждают: ИИ‑агент способен — по крайней мере, в части случаев — самостоятельно разобрать программное обеспечение, чтобы определить, несёт ли оно угрозу.

Компания сообщает, что разработала опытный образец программы на базе искусственного интеллекта ^[1], которая берёт на себя задачу, раньше доступную только высококвалифицированным исследователям кибербезопасности: реверс‑инжиниринг вредоносного кода.

Проект, получивший название Project Ire, призван справляться с одной из самых сложных задач в этой области: полный разбор программного файла без малейших подсказок о его происхождении и назначении, — пояснили в Microsoft в блоге ^[2].

В одном из тестов Project Ire сумел верно распознать 90% вредоносных драйверов для Windows, и при этом ошибочно пометил как опасные лишь 2% безвредных файлов. «Такой низкий процент ложных срабатываний даёт все основания рассчитывать на практическое применение технологии в операциях по обеспечению безопасности — вкупе с проверкой экспертами», — заявляют в компании.

Project Ire выгодно отличается от традиционных антивирусов, которые обычно ищут вредоносный код по знакомым последовательностям, шаблонам или типичному поведению ^[4], выявленным в прошлых атаках. Но хакеры не стоят на месте: они придумывают новые приёмы маскировки, усложняя обнаружение вредоносных функций. Иногда это использование встроенных возможностей легитимного софта, чтобы позже загрузить вредоносный модуль.

Отрасль информационной безопасности давно применяет ИИ, включая машинное обучение ^[5], для улучшения обнаружения угроз. Однако Project Ire от Microsoft идёт дальше, присоединившись к тем, кто использует крупные языковые модели для расследования и выявления потенциально опасного ПО.

«Project Ire пытается решить эти задачи, действуя как автономная система, использующая специализированные инструменты для реверс‑инжиниринга программ. Архитектура системы позволяет анализировать код на нескольких уровнях — от побитового разбора и восстановления управляющих структур до высокоуровневой интерпретации поведения», — добавили в Редмонде.

В блоге Microsoft также рассказали, что ИИ‑программа смогла выявить Windows‑ориентированный руткит и ещё один образец вредоносного кода, предназначенный для отключения антивируса, определив их ключевые признаки. Более того, Project Ire оказался достаточно умным, чтобы составить обвинительное заключение — обоснованную с точки зрения ^[6] системы причину для автоматической блокировки, что позволило Microsoft пресечь атаку, связанную с элитной хакерской группировкой.

В Project Ire видят помощника для перегруженных работой специалистов по кибербезопасности. Его планируется внедрить в команду, создающую Microsoft Defender, в качестве «бинарного анализатора для выявления угроз и классификации программ».

«Наша цель — увеличить скорость и точность системы, чтобы она могла верно классифицировать файлы любого происхождения, даже при первом контакте», — уточняют в компании.

Тем не менее проект пока остаётся на стадии прототипа, вероятно из‑за существующих ограничений. Так, в другом тесте Microsoft, где проверялись почти 4 тысячи файлов, подлежащих ручному анализу, Project Ire показал высокую точность — 0,89, то есть примерно 9 из 10 помеченных как вредоносные файлов действительно оказались таковыми. Однако он смог выявить лишь около четверти всех реальных угроз в проверочной выборке.

И всё же в Microsoft считают: «Хотя общая эффективность была умеренной, сочетание высокой точности и низкого процента ошибок даёт реальную надежду на внедрение технологии в будущем».

Делегируйте рутинные задачи вместе с BotHub! Сервис доступен без VPN, принимаются российские карты. По ссылке ^[7] вы можете получить 100 000 бесплатных капсов и приступить к работе с нейросетями прямо сейчас!