微软推出项目 IRE：AI 能自主检测恶意软件

微软的 Project Ire 项目运用人工智能，能自动进行软件逆向工程，并将其分类为恶意或良性。

微软推出了 Project Ire，这是一个能够自主进行软件逆向工程和分类的人工智能系统。

Project Ire 是一个基于 LLM 的自主恶意软件分类系统，它利用反编译器及其他工具，分析其输出结果，从而判定软件的属性。

“今天，我们很高兴地推出一款能够自主分析和分类软件的 AI 代理，这是在网络安全和恶意软件检测方面的一大进步。”宣布中读到。“原型项目 Ire 自动化了恶意软件分类的黄金标准：在不了解其来源或目的的情况下，完全逆向工程一个软件文件。”

“微软的研究和安全团队开发了 Project Ire 项目，该项目运用人工智能和逆向工程技术，能够以 98%的准确率和 83%的召回率对恶意软件进行分类。微软特别强调，该系统是首个能够为 APT 恶意软件撰写定罪案例的逆向工程系统，无论是人工还是机器，都能触发微软防御者自动阻止该恶意软件。此外，Project Ire 项目还基于 GraphRAG 和微软发现等合作项目，将人工智能技术与全球恶意软件遥测技术相结合，从而实现更高级的威胁检测。”

这家科技巨头表示，微软 Defender 每月扫描超过十亿台设备，但由于威胁的复杂性和模糊性，恶意软件分类仍然高度依赖专家审查。分析师因大量手动工作而感到疲惫和倦怠，尤其是由于软件中的许多行为并不能明确表明其是否具有恶意。与其他 AI 安全任务不同，恶意软件分类缺乏明确的验证标准，这使得自动化变得困难，并凸显了需要可扩展、智能的解决方案。

“Project Ire 通过作为一个自主系统来应对这些挑战，该系统使用专门的工具进行软件逆向工程。该系统架构支持在多个层次进行推理，包括从低级二进制分析到控制流重建，再到高级行为代码解释。”公告继续。“其工具使用 API 使该系统能够利用多种逆向工程工具更新对文件的理解，这些工具包括基于 Project Freta 的 Microsoft 内存分析沙盒、自定义和开源工具、文档搜索以及多个反编译器。”

Project Ire 首先通过智能工具识别文件类型及其工作原理。接着，它利用 angr 和 Ghidra 等工具分析软件运行机制。在深入探究过程中，它运用人工智能研究软件关键部分，并构建清晰的证据链以展示决策依据，便于安全专家复核。最终，它交叉验证结果并生成完整报告，明确指出软件是否安全或有害。

该 AI 系统在一组 Windows 驱动程序上进行了测试，这些驱动程序包括 Living off the Land Drivers 数据库中的恶意驱动程序和 Windows 更新中的安全驱动程序，以评估其准确分类恶意软件的能力。

“该分类器表现优异，成功识别了 90%的文件，且仅将 2%的良性文件误报为威胁。其精确度达到 0.98，召回率为 0.83。如此低的误报率显示其在安全操作中具有显著的部署价值，并可配合专家逆向工程进行深入审查。”声明总结。Project Ire 在分析每个文件时，都会生成包含证据部分、所有被检代码函数的摘要及其他技术细节的报告。”