微軟Project Ire項目利用AI自主逆向工程并分類軟件性質

微軟近日公布了Project Ire項目，這是一個能夠自主進行逆向工程并分類軟件性質的人工智能（AI）系統。該系統由大型語言模型（LLM）驅動，通過使用反編譯器等工具分析軟件輸出結果，最終確定軟件屬于惡意還是良性。

微軟在公告中表示："今天我們很高興推出這款能夠獨立分析和分類軟件的自主AI代理，這是網絡安全和惡意軟件檢測領域的重要進步。原型項目Project Ire實現了惡意軟件分類的黃金標準——在沒有任何來源或目的線索的情況下，完全逆向工程一個軟件文件。"

技術實現與性能指標

Project Ire由微軟研究和安全團隊開發，結合AI與逆向工程工具，在惡意軟件分類任務中達到了0.98的精確度和0.83的召回率。值得注意的是，這是微軟首個（無論是人類還是機器）能夠為APT（高級持續威脅）惡意軟件撰寫定罪案例的逆向工程系統，其分析結果可直接觸發Microsoft Defender的自動攔截功能。

該系統建立在GraphRAG和Microsoft Discovery等技術合作基礎上，將AI與全球惡意軟件遙測數據相結合，實現了高級威脅檢測能力。微軟指出，雖然Microsoft Defender每月掃描超過10億臺設備，但由于威脅的復雜性和模糊性，惡意軟件分類仍高度依賴專家評審。

解決行業痛點

安全分析師長期面臨手動工作導致的疲勞和職業倦怠，特別是許多軟件行為并不能明確指示其惡意性質。與其他AI安全任務不同，惡意軟件分類缺乏明確的驗證標準，這使得自動化變得困難，也凸顯了對可擴展智能解決方案的需求。

公告進一步說明："Project Ire試圖通過作為自主系統使用專業工具進行軟件逆向工程來解決這些挑戰。該系統架構支持多層次的推理，從低級二進制分析到控制流重建，再到代碼行為的高級解釋。"

工作原理與驗證流程

Project Ire的工作流程分為四個階段：

1. 使用智能工具識別文件屬性及工作原理
2. 通過angr和Ghidra等工具繪制軟件運行圖譜
3. 利用AI研究軟件關鍵部分并構建清晰的證據鏈
4. 交叉驗證發現結果并生成完整報告

該系統在Windows驅動程序測試集上表現優異，正確識別了90%的文件，僅將2%的良性文件誤判為威脅。微軟總結道："這種低誤報率表明其在安全運營部署方面具有明顯潛力，可作為專家逆向工程評審的補充。"對于每個分析文件，Project Ire都會生成包含證據部分、所有檢查代碼功能摘要和其他技術工件的詳細報告。