Projekt Ire: AI, která rozebírá malware bez lidské pomoci

V dnešní digitální éře, kde hackeři neustále vymýšlejí nové způsoby, jak skrýt své škodlivé kódy, přichází Microsoft s inovativním řešením. Jejich prototyp nazvaný Project Ire dokáže plně reverse engineerovat (zpětně analyzovat) software bez jakýchkoli nápověd o jeho původu nebo účelu. Tento nástroj automatizuje úkol, který byl dosud vyhrazen jen pro zkušené bezpečnostní výzkumníky. Podle informací z oficiálního blogu Microsoftu, který vyšel v úterý, jde o průlom v oblasti kybernetické bezpečnosti.

Jak Project Ire funguje a čím se liší od tradičních antivirů

Tradiční antivirové programy fungují tak, že prohledávají soubory a programy hledajíce známé řetězce kódu, vzory nebo chování spojené s dřívějšími detekcemi malwaru. Problém je, že hackeři své techniky neustále zdokonalují, aby skryli škodlivé funkce – například využívají vestavěné funkce legitimního softwaru k pozdějšímu stažení škodlivých modulů. Project Ire se od toho odlišuje tím, že působí jako autonomní systém, který používá specializované nástroje k reverse engineeringu softwaru. Jeho architektura umožňuje uvažování na více úrovních: od nízké úrovně binární analýzy přes rekonstrukci toku řízení až po vysokou úroveň interpretace chování kódu.

Podle detailů z testů Microsoftu dokázal Project Ire správně identifikovat 90 % škodlivých souborů ovladačů pro Windows. Navíc označil jen 2 % benigních (neškodných) souborů jako nebezpečné, což ukazuje na velmi nízkou míru falešných poplachů. Tato nízká chybovost naznačuje, že by mohl být nasazen v bezpečnostních operacích vedle expertů na reverse engineering. Související informace z důvěryhodných zdrojů, jako je Microsoft Research, potvrzují, že systém dosáhl přesnosti (precision) 0,98 a míry detekce (recall) 0,83 v testech na datových sadách ovladačů pro Windows, což znamená, že správně identifikoval 98 % škodlivých vzorků při minimalizaci chyb.

Úspěchy v detekci specifických hrozeb

V praxi se Project Ire osvědčil při detekci konkrétních typů malwaru. Například dokázal odhalit rootkit (kořenový kit) založený na Windows a další vzorek malwaru navržený k deaktivaci antiviru tím, že identifikoval jejich klíčové vlastnosti. Co je ještě působivější, systém byl dost chytrý na to, aby "napsal přesvědčivý případ" – detekci tak silnou, že opravňovala automatické blokování. To vedlo Microsoft k označení a zablokování vzorku malwaru spojeného s elitní hackerskou skupinou. Podle doplňujících údajů z bezpečnostních analýz, jako ty z Microsoft Defender týmů, Project Ire využívá nástroje jako dekompilátory, analyzátory paměti v sandboxu a frameworky jako angr a Ghidra pro hlubokou analýzu binárních souborů.

V dalším testu zahrnujícím téměř 4 000 souborů určených k manuální kontrole dosáhl Project Ire vysoké přesnosti 0,89, což znamená, že skoro 9 z 10 souborů označených jako škodlivé bylo správně identifikováno. Nicméně detekoval jen zhruba čtvrtinu všech skutečných malwarů v testovaných souborech. Microsoft poznamenává, že i přes střední celkový výkon tato kombinace přesnosti a nízké chybovosti ukazuje skutečný potenciál pro budoucí nasazení.

Budoucnost a nasazení v praxi

I když vzestup AI vyvolává obavy z nahrazování lidí stroji, Microsoft prezentuje Project Ire jako nástroj, který pomůže přetíženým bezpečnostním výzkumníkům a IT personálu. Společnost plánuje nasadit tuto AI do týmu, který vyvíjí Microsoft Defender, jako "Binary Analyzer" pro detekci hrozeb a klasifikaci softwaru. Cílem je rozšířit rychlost a přesnost systému tak, aby správně klasifikoval soubory z jakéhokoli zdroje, i při prvním setkání.

Project Ire integruje velké jazykové modely (large language models) s globálními daty o malwaru a spolupracuje s technologiemi jako GraphRAG. To řeší výzvy jako únava z alertů, nedostatek pracovní síly a rostoucí sofistikovanost malwaru. Zatím jde o prototyp, který čelí omezením, jako je potřeba adaptace na jiné typy souborů mimo ovladače Windows, ale jeho výkon v benčmarcích překonává i lidské analytiky v některých případech, zejména u složitých hrozeb od pokročilých skupin.

Tento vývoj od Microsoftu, představuje krok vpřed v autonomní analýze malwaru. Pokud se Project Ire rozvine, mohl by se stát klíčovým spojencem v boji proti kybernetickým útokům, kde rychlost a přesnost rozhodují o bezpečí milionů uživatelů.