La llegada del software program de IA generativo como ChatGPT provocó especulaciones inmediatas de que los piratas informáticos usarían esos programas para crear y ajustar ataques de malware. Productos como ChatGPT y Géminis pueden ser excelentes para codificar, pero tienen barandillas para evitar la creación de software program malicioso. Dicho esto, los piratas informáticos siempre pueden encontrar formas novedosas de hacer jailbreak un sistema de IA y obtener los resultados deseados. El uso de software program AI de código abierto en una computadora también podría ayudar en ese sentido. Además, los piratas informáticos aún pueden crear malware sin herramientas de IA.
Si bien esas preocupaciones pueden estar justificadas, las empresas de IA y otras compañías de software program están utilizando IA para crear protecciones contra malware y otras estafas en línea. Por ejemplo, PayPal tiene un sistema de IA en su lugar que podría evitar que envíe dinero a una fuente no confiable.
Empresas como Google y Microsoft también utilizarán AI para mejorar sus herramientas de seguridad, y esta última ha presentado una nueva herramienta de inteligencia synthetic que podría detectar malware sin asistencia humana. El martes, Microsoft presentado Project IREun prototipo para un sistema de IA autónomo que puede inspeccionar y clasificar el malware por su cuenta.
Detectar malware es difícil
Los investigadores de seguridad descubren rutinariamente ataques de malware que convencen a los usuarios de instalar software program en sus computadoras que pueden extraer datos y robar dinero. Por ejemplo, los investigadores descubrieron un ataque de malware que se extendió en redes sociales como Tiktok a través de movies hechos por IA donde los piratas informáticos convencieron a los usuarios desprevenidos de instalar software program malicioso en sus PC al hacerles creer que estaban descargando un software program genuino para solucionar problemas específicos.
Pero analizar el software program malicioso es una tarea intensiva en recursos. Microsoft cube que su plataforma de defensa escanea más de mil millones de dispositivos cada mes. Luego se necesita una revisión handbook. Los investigadores tienen que inspeccionar cuidadosamente el nuevo software program, desgarrarlo y comprender cómo funciona antes de publicitarlo. El juego de gato y ratón continúa. Los atacantes producen un nuevo malware, y los investigadores intentan detenerlos.
Undertaking IRE podría acelerar enormemente la detección de malware si funciona según lo previsto por los ingenieros de Microsoft Analysis, Microsoft Defender Analysis y Microsoft Discovery & Quantum. Microsoft explicado en una publicación de blog Esa ira del proyecto “automatiza lo que se considera el estándar de oro en la clasificación de malware: revertir completamente la ingeniería de un archivo de software program sin ninguna pista sobre su origen o propósito”.
Si un programa de IA puede hacer eso por sí solo sin supervisión humana, los investigadores reales pueden ser liberados para trabajos de seguridad adicionales que podrían requerir su atención. Además, una herramienta de IA que puede monitorear los ataques de malware continuamente podría implementarse en programas de seguridad para entornos en la nube e incluso en computadoras domésticas.
Cómo funciona Undertaking IRE
Microsoft diseñó el agente de IA autónomo para realizar una secuencia de pasos para determinar el origen y el propósito de un software program potencialmente fraudulento. Undertaking IRE ejecutará primero una fase de triaje donde intenta determinar el tipo de software program que el paquete sospechoso puede incluir y las áreas de interés.
La IA inspeccionará el software program para obtener un ingeniería inversa utilizando herramientas como Angr y Ghidra. Este es un paso clave en el que el agente AI reconstruye el gráfico de flujo de management del malware. Undertaking IRE utilizará la información de los pasos anteriores para identificar y resumir la función clave del software program. La IA también mantendrá un registro de sus hallazgos que pueden ser inspeccionados por revisores humanos.
Undertaking IRE también invocará una herramienta de validador que analice las afirmaciones anteriores, la cadena de evidencia y las “declaraciones expertas de los ingenieros inversos de malware en el equipo del proyecto IRE”. El agente de IA creará una evaluación closing del software program que analizó, etiquetándolo como malicioso o benigno.
“Al momento de escribir este artículo, Undertaking IRE ha logrado una precisión de 0.98 y un retiro de 0.83 utilizando conjuntos de datos públicos de los controladores de Home windows. Fue el primer ingeniero inverso en Microsoft, humano o máquina, a autor, un caso de convicción, una detección lo suficientemente fuerte como para justificar el bloqueo automático, el bloqueo automático de la amenaza avanzada (APT) de la muestra de malware) que ha sido identificado y bloqueado por Microsoft, dichado por Microsoft.
¿El proyecto IRE realmente funciona?
Los resultados provienen de una prueba de Microsoft que involucra un conjunto de datos de controladores de Home windows de acceso público, algunos de los cuales eran maliciosos. Undertaking IRE identificó el 90% de todos los archivos correctamente. Solo marcó el 2% de los archivos benignos como amenazas.
Microsoft también realizó una “prueba más exigente involucraba a casi 4,000 archivos de” objetivo duro “no clasificados por sistemas automatizados y programados para la revisión handbook de ingenieros inversos expertos”. En este caso, el agente de IA logró un puntaje de precisión de 0.89, lo que significaba que atrapó casi 9 de cada 10 archivos maliciosos. Sin embargo, el retiro estaba en 0.26, lo que indica que la IA autónoma solo atrapó aproximadamente una cuarta parte del número complete de archivos de malware en la muestra.
Estos son resultados prometedores para el proyecto IRE, lo que indica que podría ser una valiosa herramienta de seguridad en el futuro, especialmente después de una mayor optimización. Estos primeros éxitos hacen que el proyecto sea adecuado para su uso en la Organización de Defensores de Microsoft como un “analizador binario para la detección de amenazas y la clasificación de software program”, dijo Microsoft. “Nuestro objetivo es escalar la velocidad y la precisión del sistema para que pueda clasificar correctamente los archivos de cualquier fuente, incluso en el primer encuentro. En última instancia, nuestra visión es detectar malware novedoso directamente en la memoria, a escala”.
