Компания Microsoft представила прототип автономного агента искусственного интеллекта под кодовым названием Project Ire. Его задача — самостоятельно проводить реверс-инжиниринг и классификацию программного обеспечения без участия человека. Система, основанная на большой языковой модели (LLM), призвана автоматизировать «золотой стандарт» анализа на вредоносность: полный разбор файла для вынесения вердикта.
Основная цель проекта — обеспечить классификацию вредоносных программ в промышленных масштабах. Это позволит значительно ускорить реакцию на угрозы и снизить нагрузку на аналитиков безопасности. Конечной задачей является создание системы, способной обнаруживать новое, ранее неизвестное вредоносное ПО непосредственно в оперативной памяти устройства при его первом же появлении.
Для анализа Project Ire использует специализированный API, который предоставляет доступ к широкому спектру инструментов для реверс-инжиниринга. В их число входят как собственные разработки Microsoft, включая песочницы для анализа памяти на базе Project Freta, так и решения с открытым исходным кодом, такие как фреймворки
Процесс оценки файла состоит из четырех последовательных этапов. Сначала система выполняет автоматический реверс-инжиниринг, определяя тип файла, его структуру и ключевые области для анализа. Затем, с помощью фреймворков
Ключевой особенностью Project Ire является создание подробного журнала, названного «цепью доказательств». Этот лог позволяет специалистам по безопасности отследить каждый шаг, предпринятый искусственным интеллектом для вынесения своего вердикта, обеспечивая полную прозрачность и возможность проверки результатов.
В ходе тестирования прототип показал высокую эффективность. При анализе общедоступных драйверов Windows система корректно пометила 90% всех файлов, при этом уровень ложных срабатываний (ошибочное определение безопасных файлов как угроз) составил 2%. В более сложном испытании на наборе из почти 4000 «сложных целей» Project Ire правильно классифицировал почти 9 из 10 вредоносных файлов, а доля ложных срабатываний не превысила 4%.
Технологии, используемые в Project Ire, частично основаны на другом исследовательском проекте Microsoft — Project Freta. Эта инициатива направлена на анализ снимков оперативной памяти работающих систем Linux с целью обнаружения скрытого вредоносного ПО, в частности, руткитов и других продвинутых угроз.
Прототип Project Ire не останется лабораторным экспериментом. Планируется его интеграция в структуру Microsoft Defender, где он будет функционировать как Binary Analyzer (анализатор двоичных файлов) для обнаружения угроз и классификации программного обеспечения.
Одновременно с анонсом Project Ire технологический гигант сообщил о рекордных показателях своей программы поощрения за обнаружение уязвимостей (bug bounty).
За отчетный период 2024 года Microsoft выплатила исследователям безопасности рекордную сумму в $17 миллионов. Вознаграждения получили 344 специалиста из 59 стран мира, которые представили 1469 отчетов об уязвимостях, признанных соответствующими условиям программы.
Максимальная единовременная выплата за обнаружение одной уязвимости достигла $200 000. Эти цифры демонстрируют рост по сравнению с предыдущим годом, когда было выплачено $16,6 миллиона 343 исследователям из 55 стран.
Изображение носит иллюстративный характер
Основная цель проекта — обеспечить классификацию вредоносных программ в промышленных масштабах. Это позволит значительно ускорить реакцию на угрозы и снизить нагрузку на аналитиков безопасности. Конечной задачей является создание системы, способной обнаруживать новое, ранее неизвестное вредоносное ПО непосредственно в оперативной памяти устройства при его первом же появлении.
Для анализа Project Ire использует специализированный API, который предоставляет доступ к широкому спектру инструментов для реверс-инжиниринга. В их число входят как собственные разработки Microsoft, включая песочницы для анализа памяти на базе Project Freta, так и решения с открытым исходным кодом, такие как фреймворки
angr и Ghidra, множественные декомпиляторы и средства поиска по документации. Процесс оценки файла состоит из четырех последовательных этапов. Сначала система выполняет автоматический реверс-инжиниринг, определяя тип файла, его структуру и ключевые области для анализа. Затем, с помощью фреймворков
angr и Ghidra, происходит восстановление потока управления, что позволяет составить карту логики работы программы. На третьем этапе LLM обращается к инструментам для идентификации и краткого описания ключевых функций кода. Наконец, специальный инструмент-валидатор проверяет полученные выводы и на основе собранных доказательств выносит окончательный вердикт: является файл вредоносным или безопасным. Ключевой особенностью Project Ire является создание подробного журнала, названного «цепью доказательств». Этот лог позволяет специалистам по безопасности отследить каждый шаг, предпринятый искусственным интеллектом для вынесения своего вердикта, обеспечивая полную прозрачность и возможность проверки результатов.
В ходе тестирования прототип показал высокую эффективность. При анализе общедоступных драйверов Windows система корректно пометила 90% всех файлов, при этом уровень ложных срабатываний (ошибочное определение безопасных файлов как угроз) составил 2%. В более сложном испытании на наборе из почти 4000 «сложных целей» Project Ire правильно классифицировал почти 9 из 10 вредоносных файлов, а доля ложных срабатываний не превысила 4%.
Технологии, используемые в Project Ire, частично основаны на другом исследовательском проекте Microsoft — Project Freta. Эта инициатива направлена на анализ снимков оперативной памяти работающих систем Linux с целью обнаружения скрытого вредоносного ПО, в частности, руткитов и других продвинутых угроз.
Прототип Project Ire не останется лабораторным экспериментом. Планируется его интеграция в структуру Microsoft Defender, где он будет функционировать как Binary Analyzer (анализатор двоичных файлов) для обнаружения угроз и классификации программного обеспечения.
Одновременно с анонсом Project Ire технологический гигант сообщил о рекордных показателях своей программы поощрения за обнаружение уязвимостей (bug bounty).
За отчетный период 2024 года Microsoft выплатила исследователям безопасности рекордную сумму в $17 миллионов. Вознаграждения получили 344 специалиста из 59 стран мира, которые представили 1469 отчетов об уязвимостях, признанных соответствующими условиям программы.
Максимальная единовременная выплата за обнаружение одной уязвимости достигла $200 000. Эти цифры демонстрируют рост по сравнению с предыдущим годом, когда было выплачено $16,6 миллиона 343 исследователям из 55 стран.
