某机构测试自主检测恶意软件的AI项目Ire

某机构于周二推出了Project Ire，这是一种自主AI代理，旨在逆向工程软件并判断其是否为恶意软件，无需任何人工指导或对文件来源的先验知识。

Project Ire目前仍处于原型阶段，代表了网络安全自动化的重大飞跃。据某机构称，该工具可以执行该领域最困难的任务之一：完全解构软件文件以分类其为良性或恶意，这种分析通常需要专家手动完成。

“这是恶意软件分类的黄金标准，”某机构在其研究博客中表示。该AI结合了反编译器、内存分析沙箱、控制流重构工具和高级语言模型来解析和理解软件代码。

Project Ire的工作原理

据某机构称，该系统首先分析文件的内部结构，并使用angr和Ghidra等工具构建控制流图。该图成为其调查的基础。

通过逐步调查过程，系统调用各种工具并使用“工具使用API”来完善其理解。它检查的每个功能都会形成一个“证据链”，这是一个可追踪的推理记录，旨在提高系统透明度和专家审核。

为了验证其结论，Project Ire运行一个验证工具，将其发现与之前由人类专家审查的日志进行比较。这些工具包括某机构的内部资源和第三方贡献，例如angr框架的贡献者Emotion Labs。

Project Ire已经显示出强劲的早期结果。在使用Windows驱动程序的公共数据集的测试中，某机构报告称该系统达到了0.98的精确度和0.83的召回率，表明其高准确性和相对较强的决策率。

在涉及近4000个“硬目标”文件的更严格的真实世界试验中（这些样本曾难倒自动化工具并等待人工审查），Project Ire达到了0.89的精确度，正确识别了近9/10的恶意文件。然而，它仅检测到约26%的实际恶意软件（召回率为0.26），反映了数据集的挑战性。

某机构承认召回分数中等，但强调了该系统的潜力。“虽然整体表现中等，但这种准确性和低错误率的结合表明未来部署具有真正的潜力，”该公司写道。

某机构计划将Project Ire集成到其Defender生态系统中，命名为Binary Analyzer。目标是使该工具能够自主检测内存中的新型恶意软件。

“我们的目标是扩展系统的速度和准确性，使其能够正确分类来自任何来源的文件，即使是首次遇到的文件，”某机构表示。“最终，我们的愿景是大规模检测内存中的新型恶意软件。”