Microsoft ontwikkelde Project Ire: een autonoom AI-systeem dat malware detecteert via volledige reverse engineering zonder menselijke tussenkomst.
Onderzoekers bij Microsoft hebben een autonoom AI-systeem ontwikkelt dat zelfstandig malware kan herkennen. Het systeem krijgt de naam Project Ire mee. In tegenstelling tot klassieke detectietools voert de AI-agent volledige reverse engineering uit zonder voorkennis over het softwarebestand.
Project Ire gebruikt geavanceerde taalmodellen in combinatie met analyse- en reverse engineeringtools zoals de open source-frameworks Ghidra en angr. De AI reconstrueert de controleflow van software, analyseert functies en bouwt een keten van bewijs om een beoordeling te onderbouwen. Deze aanpak laat toe om zonder menselijke tussenkomst complexe malware te identificeren.
Nauwkeurige resultaten
In een praktijktest kreeg Project Ire bijna 4.000 moeilijk te analyseren softwarebestanden toegewezen, die normaal menselijke analyse vereisen. Hier haalde het systeem een precisie van 0,89 en een recall van 0,26. In mensentaal: 89 procent van de als malware geïdentificeerde code was effectief malware en van alle aanwezige malware in de testsamples kon de AI 26 procent vinden.
In de test ging het exclusief om moeilijke samples. De effectiviteit van Project Ire op een klassieke set van testsamples ligt veel hoger met een recall van 83 procent en een precisie van 98 procent. De AI kan ook gedetailleerde rapporten opstellen die stap voor stap de conclusie voor de classificatie onderbouwen. Dankzij die transparantie is het niet moeilijk om de bevindingen aan een audit te onderwerpen.
Klaar voor de praktijk
De eerste resultaten tonen zo potentieel voor grootschalige, autonome malwareclassificatie, met een duidelijk spoor van bewijs en mogelijkheden voor validatie door beveiligingsteams. Project Ire toont specifiek grote meerwaarde als extra component voor de beoordeling van mogelijke malware. Als stap voor menselijke interventie kan het systeem nu al een kwart van de malware correct filteren, zonder al te veel valse positieven.
Microsoft wil Project Ire daarom inzetten als intern analysetool binnen het Defender-ecosysteem onder de naam Binary Analyzer. Het uiteindelijke doel is om verdachte software direct vanuit het geheugen te kunnen analyseren bij eerste contactmomenten, zonder handmatige tussenkomst.