Microsoft ha annunciato il lancio di Project Ire, un innovativo sistema di intelligenza artificiale progettato per classificare autonomamente il malware e potenziare la rilevazione delle minacce informatiche. Questo nuovo progetto, attualmente in fase di prototipo, sfrutta modelli di linguaggio avanzati (LLM) per automatizzare l’analisi e la classificazione del software sospetto, eliminando la necessità di intervento umano diretto nelle prime fasi di valutazione.

Funzionalità di Project Ire

Project Ire è in grado di eseguire una vera e propria ingegneria inversa su file sconosciuti, utilizzando decompilatori e una serie di strumenti specializzati per ricostruire il flusso di controllo del software, analizzare i binari e interpretare il comportamento del codice. Grazie a una API per l’utilizzo di strumenti, il sistema aggiorna costantemente la propria comprensione di un file, integrando dati provenienti da tool di reverse engineering, sandbox di analisi della memoria come Project Freta, strumenti open source e motori di ricerca di documentazione tecnica.

Processo di valutazione automatizzato

Il processo di valutazione si compone di più fasi automatizzate:

• Identifica il tipo di file e la sua struttura
• Ricostruisce il grafo di controllo tramite framework come angr e Ghidra
• Richiama strumenti specifici per estrarre e riassumere le funzioni principali
• Utilizza un validatore per verificare le evidenze raccolte e arrivare a una classificazione finale

Tutte le operazioni vengono tracciate in una catena di evidenze consultabile, così che i team di sicurezza possano rivedere facilmente ogni passaggio in caso di errori o falsi positivi.

Risultati e prospettive

I primi test di Project Ire, condotti su un dataset pubblico di driver Windows e su quasi 4000 file particolarmente complessi, hanno dimostrato un’accuratezza notevole: il sistema ha identificato correttamente il 90% dei file, con un tasso di falsi positivi inferiore al 4%. Questo risultato rappresenta un passo avanti significativo verso la classificazione automatica di malware su larga scala e la riduzione del lavoro manuale degli analisti di sicurezza.

Microsoft intende integrare Project Ire all’interno di Defender, dove opererà come Binary Analyzer per il rilevamento delle minacce e la classificazione del software. L’obiettivo a lungo termine è ampliare la velocità e la precisione del sistema, fino a permettere l’identificazione di malware inediti direttamente in memoria, anche al primo incontro.

Questa innovazione arriva in un periodo in cui Microsoft conferma il proprio impegno nella sicurezza: solo nell’ultimo anno, l’azienda ha erogato 17 milioni di dollari in premi ai ricercatori che hanno segnalato vulnerabilità, a riprova dell’importanza della collaborazione tra intelligenza artificiale e comunità di cybersecurity.