Microsoft запускает Project Ire — ИИ, который сам реверсирует код и находит вредоносы

Microsoft Project Ire искусственный интеллект вредоносное по кибербезопасность
Microsoft запускает Project Ire — ИИ, который сам реверсирует код и находит вредоносы
Microsoft Project Ire искусственный интеллект вредоносное по кибербезопасность

90% точности, 2% лжи.

image

Microsoft представила автономную систему на базе искусственного интеллекта, способную анализировать и классифицировать программное обеспечение без участия человека. Прототип получил название Project Ire и разработан для масштабного выявления вредоносного кода.

Как сообщается в официальном блоге Microsoft Research , система выполняет «золотой стандарт» анализа — полностью реверсирует исполняемый файл без предварительной информации о его назначении или происхождении. Для этого используется целый арсенал инструментов: декомпиляторы, API-интерфейсы, песочницы памяти, включая Project Freta , а также открытые и кастомные решения.

Процесс классификации включает несколько этапов: автоматический реверс, реконструкция графа управления потоком с помощью инструментов вроде Ghidra и angr, семантический анализ поведения кода и вызов специализированных валидационных инструментов. Вся логика системы сопровождается подробным журналом рассуждений — «цепочкой доказательств», позволяющей верифицировать итоговый вердикт.

В одном из тестов Project Ire была проверена на выборке драйверов Windows, включающей как вредоносные образцы из базы Living off the Land Drivers, так и легитимные из Windows Update. В этом сценарии система успешно классифицировала 90% файлов, при этом точность (precision) достигла 0,98, полнота (recall) — 0,83, а доля ложных срабатываний составила 2%.

В более сложном испытании Project Ire анализировала почти 4000 файлов, которые не были классифицированы автоматизированными средствами и предназначались для ручной проверки экспертами. Система работала полностью автономно, обрабатывая файлы, созданные после завершения обучения языковых моделей, — на тот момент ни один другой автоматический инструмент Microsoft не мог их классифицировать.

В этом сценарии точность составила 0,89 — то есть почти 9 из 10 помеченных как вредоносные файлов действительно оказались вредоносными. Полнота (recall) составила 0,26, что означает обнаружение примерно четверти всех образцов вредоносного кода. При этом доля ложных срабатываний была низкой — всего 4%.

Хотя общая эффективность в этом тесте была умеренной, сочетание высокой точности и низкого уровня ошибок демонстрирует реальный потенциал для дальнейшего применения системы.

В будущем прототип станет частью платформы Microsoft Defender под названием Binary Analyzer и будет использоваться для внутренней автоматической оценки бинарных файлов. Цель проекта — повысить скорость и точность классификации новых программ, включая те, что ранее не встречались.

Кроме того, Microsoft подвела итоги программы вознаграждений за найденные уязвимости. Как говорится в годовом отчёте Microsoft Security Response Center , за год было выплачено $17 млн 344 исследователям из 59 стран. Всего в период с июля 2024 по июнь 2025 года было подано 1469 валидных отчётов, а наибольшая выплата составила $200 тыс.