微软Project Ire登场，AI智能体首次承担逆向工程师角色

微软推出了一款声称无需人工干预即可检测恶意软件的自主AI智能体。

这个名为Project Ire的原型产品能够"在没有任何关于软件来源或目的信息"的情况下对软件进行逆向工程，然后使用大语言模型和一系列可调用的逆向工程与二进制分析工具来判断代码是恶意的还是良性的。

微软在周二的博客文章中声称："它是微软第一个创建确信案例的逆向工程师，无论是人类还是机器——这是一种足够强大的检测能力，可以证明自动阻止某个特定的高级持续性威胁(APT)恶意软件样本是合理的，该样本此后已被微软Defender识别并阻止。"

如果能够按承诺的效果运行并实现规模化部署，Project Ire将帮助安全分析师摆脱手动分析每个样本并将其分类为良性或恶性的繁重工作。这种工作可能需要数小时，导致警报疲劳和职业倦怠，也意味着更少的人力能够专注于那些需要立即检测和阻止的真正复杂且快速变化的威胁。

但目前这仍然是一个很大的假设。

在对约4000个"硬目标"文件的真实世界测试中，这些文件没有被自动化系统分类，本来需要人类逆向工程师进行人工审查。结果显示，Project Ire标记为恶意的文件中，近9成(89%)确实是恶意的。

该原型将集成到微软的Defender安全工具套件中，该套件涵盖了杀毒、端点、邮件和云安全，作为威胁检测和软件分类的二进制分析器。

微软表示："我们的目标是扩展系统的速度和准确性，使其能够正确分类来自任何来源的文件，即使在首次遇到时也是如此。最终，我们的愿景是直接在内存中大规模检测新型恶意软件。"

热门但并非新概念

基于AI的恶意软件分析并不新鲜，Cylance等杀毒软件厂商使用机器学习分析文件已近十年。

然而，Gartner副总裁Neil MacDonald通过电子邮件回应关于Project Ire的问题时告诉The Register："我们当时学到的，现在仍然适用的是，恶意软件检测的最佳结果需要结合确定性方法(如模式和签名)、机器学习和概率技术(AI/生成式AI)。"

他说："这就是为什么在这种情况下，微软强调其在安全运营中心中的使用，作为事件检测和响应流程的一部分，而不是作为内联预防控制。"

MacDonald确实注意到"论文中记录的相对较高的误报率和漏报率显示了这种方法的局限性"。

不过，他补充说，这并不意味着安全公司不应该投资AI。

MacDonald说："很明显，在黑客将利用AI快速创建新颖攻击的世界中，这种基于AI/生成式AI的方法对于跟上新威胁的数量和变化将至关重要。掌握在防御者手中的AI，将是抵消掌握在攻击者手中的AI威胁所必需的。"

全面拥抱AI

确实，微软的这一宣布正值所有大型安全公司都在加大AI投入，特别是AI智能体——既将其集成到企业工具中，也帮助公司保护其数据和人员免受AI系统和智能体带来的各种威胁。

虽然微软在将AI和特定任务智能体塞入其所有安全产品的过程中可以说是走得最远的，但谷歌也在开发自己的AI智能体军团，包括一个分析恶意软件并确定其威胁程度的智能体。

谷歌在其年度Cloud Next活动上宣布了这个恶意软件分析智能体，当时表示将在今年为选定的谷歌客户提供预览版。

上个月末，Palo Alto Networks签署了一项250亿美元的交易，收购以色列公司CyberArk，将这家较小公司的身份安全技术引入其更大的安全平台，该技术不仅验证人类身份，还验证机器和AI的身份。

根据CyberArk的数据，机器身份数量比人类身份多40倍，随着更多公司使用AI智能体，这个数字预计将急剧上升。