終端安全新時代!AI自主逆向軟件并找出未知惡意軟件
責編:gltian |2025-08-08 15:13:32微軟日前宣布推出一款自主AI代理,可在無人工干預的情況下分析并分類軟件,旨在推動惡意軟件檢測能力的發展。
這套由大語言模型(LLM)驅動的自主惡意軟件分類系統,目前處于原型階段,微軟內部代號為Project Ire。
Project Ire實現了惡意軟件檢測的權威流程
微軟表示:“該系統實現了被認為是惡意軟件分類‘黃金標準’的流程:在完全沒有來源或用途線索的前提下,對一個軟件文件進行完整的逆向工程。”它使用反編譯器及其他工具來審查分析結果,從而判斷該軟件是惡意還是良性。
據微軟介紹,Project Ire的目標是實現惡意軟件的大規模分類,加快威脅響應速度,并減少安全分析師手動檢查樣本以確定其是否為惡意軟件的工作量。
該系統利用專用工具進行軟件逆向工程,分析層級涵蓋廣泛,從底層二進制分析、控制流重構,直至對代碼行為的高階解讀。
微軟指出:“系統通過調用API,整合多種逆向工程工具,以不斷更新對目標文件的理解,這些工具包括基于Project Freta的內存分析沙箱、自定義與開源工具、文檔搜索功能以及多個反編譯器。”
Project Freta是微軟研究院的一項計劃,旨在通過分析Linux實時系統的內存快照,執行“發現掃描”,以偵測尚未被識別的惡意軟件,例如rootkit和高級威脅程序。
整個評估流程包括多個步驟:
- 自動化逆向工程工具識別文件類型、結構及潛在風險點;
- 系統利用angr和Ghidra等框架,重建軟件的控制流圖;
- 大語言模型通過API調用專用工具,識別并總結關鍵函數;
- 系統調用驗證工具,依據可用證據對初步發現進行驗證,并據此對樣本進行分類;
- 總結過程記錄詳盡的“證據鏈”日志,說明系統得出判斷的依據,方便安全團隊在誤判時進行復審與優化。
Project Ire已實現漏報率約一成,誤報率4%
在Project Ire團隊對一組公開可獲取的Windows驅動程序數據集進行測試時,該系統成功識別了90%的所有文件,僅有2%的良性文件被誤判為威脅。在另一項針對近4000個“高難度目標”文件的評估中,系統準確分類了近九成的惡意文件,誤報率僅為4%。
微軟表示:“基于這些初步成果,Project Ire原型將被整合進微軟Defender內部的Binary Analyzer工具,用于威脅檢測與軟件分類。”
“我們的目標是進一步提升系統的處理速度和識別準確率,使其在首次接觸任意來源的文件時,也能做出正確判斷。最終愿景是實現對新型惡意軟件的內存級大規模直接檢測。”
微軟指出,這類自動化技術未來有望在應對日益復雜的網絡攻擊時,更有效地保護全球數十億臺設備。
這也是新一波AI系統浪潮中的一部分,這些系統正在嘗試以全新方式應對網絡安全威脅。例如,谷歌的“Big Sleep” AI也是一款自主運行系統,其主要聚焦于發現代碼中的安全漏洞。
微軟表示,Project Ire是由微軟研究院、微軟Defender以及Microsoft Discovery & Quantum等多個團隊聯合開發的。目前,該系統已開始用于公司內部,以協助提升微軟安全工具的威脅檢測效率。
參考資料:https://thehackernews.com/2025/08/microsoft-launches-project-ire-to.html
顯示原圖
翻譯為
復制譯文
下載圖片