Microsoft Research presenteert Project Ire, een baanbrekend prototype van een zelfstandige AI-agent die malware automatisch kan analyseren en classificeren. Zonder menselijke bijstand reverse-engineert deze agent software, wat normaal gezien expertwerk vereist.
Wat is Project Ire?
Project Ire is een generatief taalmodel dat reverse engineering van software volledig autonoom uitvoert. Het gebruikt verschillende omgekeerde engineeringstools—zoals decompilers, memory-analyse omgevingen en frameworks zoals angr en Ghidra—om stap voor stap te begrijpen of een bestand kwaadaardig is of niet.
Technische aanpak: Een gelaagde strategie
Het systeem start met een triageproces dat de bestandsstructuur in kaart brengt. Daarna reconstrueert het de control-flow en analyseert het functies iteratief dankzij het LLM en gespecialiseerde tools. Elke stap wordt gedocumenteerd in een ‘chain of evidence’, wat auditbaarheid en review door menselijke teams mogelijk maakt.
Prestaties in eerste tests
- Publieke driverdata: Van bekende Windows-drivers correct geclassificeerd, met een nauwkeurigheid (precision) van 98 % en een detectiegraad (recall) van 83 %. Slechts 2 % van de onschuldige bestanden werd foutief als kwaadaardig gemarkeerd.
- Reële scenario: Bij URL’s geclassificeerd door Defender maar nog niet beoordeeld door mensen (~4.000 bestanden), herkende Project Ire 89 % van de als kwaadaardig gemarkeerde bestanden correct. Echter, de recall bleef beperkt tot ongeveer 26 %, wat suggereert dat nog veel malware onopgemerkt bleef. De foutpositieve ratio bleef beperkt tot 4 %.
Impact op cybersecurity en menselijke analisten
Menselijke malware-analisten zijn vaak overbelast vanwege foutieve waarschuwingen en complexe analysewerk. Project Ire helpt deze werkdruk te verlichten en biedt consistentie in classificatie. De auditable “chain of evidence” zorgt bovendien voor transparantie en samenwerking tussen AI en mens.
Toekomstplannen van Microsoft
Microsoft is van plan om Project Ire te integreren in Microsoft Defender als de interne Binary Analyzer, waarmee snelheid en precisie van detectie op grote schaal worden verbeterd. De lange termijnvisie is om malware—zelfs nieuwe varianten—in het geheugen van systemen autonoom te detecteren.
Project Ire markeert een cruciale verschuiving in cybersecurity: Van vertrouwen op menselijke experts naar autonomie op basis van AI. Hoewel de detectiekracht momenteel beperkt is (detecteert slechts 1 op 4 kwaadaardige bestanden in het veld), biedt de hoge precisie en lage foutpositieve ratio veelbelovend potentieel voor toekomstig gebruik op grote schaal. Microsoft zet hiermee een nieuwe standaard voor AI-gedreven malwareanalyse.
Project Ire autonomously identifies malware at scaleDesigned to classify software without context, Project Ire replicates the gold standard in malware analysis through reverse engineering. It streamlines a complex, expert-driven process, making large-scale malware detection faster & more consistent. |
