微軟打造資安AI工具可自動逆向分析惡意軟體

微軟於日前宣布了一款突破性的自主AI代理系統——Project Ire，能夠在無需人類協助的情況下逆向分析並識別惡意軟體，標誌著網路安全防護方式的一大轉變。

根據微軟週二發佈的官方部落格文章，該原型系統「自動化了惡意軟體分類的黃金標準：在完全不了解軟體來源或用途的情況下，完整逆向工程分析軟體檔案。」Project Ire是微軟首次開發出可自動生成足以觸發即時封鎖的威脅報告的系統。

真實世界測試中的突破性表現

早期測試顯示，Project Ire在標示檔案為惡意軟體時準確率令人印象深刻。系統正確辨別威脅的準確率達98%，且誤報率僅為2%。在近4,000份已被微軟Defender標記但尚未分類的檔案測試中，Project Ire成功識別約九成的惡意檔案，並偵測出約四分之一的真正惡意軟體。

據GeekWire報導，這與現有的安全工具不同，後者通常是掃描已知威脅或比對現有樣本模式；而Project Ire則能自主解析軟體檔案行為，判斷其是否具潛在危害。

該系統採用多層處理方式，將惡意軟體分析拆解成不同階段，以避免過載。Project Ire結合了多種工具，包括沙箱環境、微軟記憶體分析、自訂與開源工具、文件檢索及多種反編譯器。這個代理系統會建立一套「證據鏈」紀錄，提供透明化解釋判斷過程，方便安全團隊檢視並持續優化。

微軟研究經理Mike Walker向Help Net Security表示，有時這個AI代理系統的分析結果與人類專家相左，但後來證明AI的判斷正確。「這讓我們學到，可以結合人類和AI的優勢，共同提升防護效能。」

此項公告正值安全防護人員面臨龐大威脅數量之際。微軟威脅情報每天處理高達84兆筆訊號，全球組織每年檢測超過300億封網路釣魚郵件。安全團隊平均每天需花費約三小時回應警示，部分團隊每日警示數超過4,400則。

Project Ire由微軟研究院、微軟Defender及微軟探索與量子團隊共同研發，將整合進微軟Defender中，作為惡意程式二進位檔分析工具，用於威脅偵測暨軟體分類。微軟最終期望該AI能在大規模規模下，直接於電腦記憶體中偵測全新惡意軟體。