Microsoft представила прототип автономного ИИ-агента Project Ire, способного анализировать программные файлы и выявлять скрытое вредоносное ПО. Разработка, созданная совместно командами Microsoft Research, Microsoft Defender Research и Microsoft Discovery & Quantum, классифицирует ПО без предварительных данных методом реверс-инжиниринга, автоматизируя сложный процесс, который обычно требует участия специалистов.
Система использует декомпиляторы и другие инструменты, включая API-интерфейс на основе Project Freta, а также сторонние и внутренние утилиты. Это позволяет Project Ire собирать данные, определять, является ли файл безопасным или вредоносным, и формировать проверяемую цепочку доказательств. Архитектура поддерживает анализ на разных уровнях — от низкоуровневой обработки бинарного кода до восстановления потоков управления и интерпретации поведения программ, сообщает SecurityWeek со ссылкой на Microsoft.
Цель Project Ire — снижение нагрузки и количества ошибок среди специалистов, ускорение реагирования на угрозы и усиление защиты от новых атак. В ходе тестов на наборе данных драйверов Windows система правильно классифицировала 90 % файлов, при этом всего 2 % легитимных файлов были ошибочно помечены как вредоносные. В другом тесте, включавшем 4000 файлов, отобранных для ручного анализа, Project Ire верно определил 9 из 10 опасных файлов с уровнем ложных срабатываний 4 %. Однако при этом было обнаружено только около четверти всего реально вредоносного ПО.
Microsoft признала, что в целом эффективность ИИ-агента пока умеренная, однако подчеркнула, что условия тестирования были сложными, а результаты демонстрируют реальный потенциал для дальнейшего внедрения. На основе достигнутых результатов прототип будет использоваться в подразделении Microsoft Defender в качестве анализатора бинарных файлов для выявления угроз и классификации программ. В компании также заявили, что в будущем планируют повысить скорость и точность системы, чтобы она могла корректно оценивать файлы с первого взаимодействия, а в перспективе — распознавать новые виды вредоносного ПО непосредственно в памяти.