A Microsoft apresentou na terça-feira um novo agente de inteligência artificial (IA) capaz de analisar e classificar malware de forma autônoma. Intitulado Project Ire, o sistema de IA está disponível atualmente como um protótipo, embora a gigante da tecnologia, com sede em Redmond, tenha testado suas capacidades em ambientes controlados e em situações do mundo real. O agente pode reverter completamente a engenharia de software sem intervenção humana e realizar análises em múltiplos níveis para avaliar se o software é benigno ou malicioso. A IA demonstrou um alto nível de precisão em um espaço de cibersegurança onde, geralmente, a IA não opera de forma independente.
Em um comunicado em seu blog, a Microsoft detalhou o Project Ire e explicou suas capacidades. O sistema foi desenvolvido em colaboração entre as divisões Microsoft Research, Defender Research e Microsoft Discovery & Quantum. A empresa afirma que o agente é alimentado por diversos “modelos de linguagem avançados” e uma gama de ferramentas projetadas para análise binária de software.
A Microsoft informa que sua plataforma Defender analisa mais de um bilhão de dispositivos ativos mensalmente, o que pode ser desafiador para analistas humanos. Contudo, até o momento, a empresa não optou pelo uso de IA nesta área, uma vez que reverter a engenharia de softwares para detectar malware é um processo complexo.
Ao contrário de outras áreas da cibersegurança, classificar um software como malware (antes de ele ser implantado e executar uma ação maliciosa) requer uma avaliação criteriosa. Os softwares frequentemente vêm com proteções de engenharia reversa, que dificultam uma análise definitiva sobre se são benignos ou maliciosos.
Embora existam alternativas, elas exigem a investigação de cada amostra de maneira incremental, construindo evidências a cada análise e validando os achados com base em bancos de dados existentes sobre comportamentos de software.
Segundo a Microsoft, o Project Ire supera essas complexidades ao utilizar ferramentas especializadas que permitem ao agente de IA reverter a engenharia de softwares de forma autônoma em diferentes níveis, incluindo análise binária em baixo nível, reconstrução de fluxo de controle e interpretação de comportamento de código em alto nível.
Ao funcionar, o sistema protótipo primeiro identifica o tipo de arquivo, sua estrutura e áreas de interesse. Em seguida, ele reconstrói o gráfico de fluxo de controle do software utilizando diferentes estruturas. Após isso, realiza análises de função iterativas para identificar e resumir as funções-chave.
Em cada iteração, o Project Ire também gera um relatório detalhado e auditável, destacando as evidências encontradas. Esse registro de evidências pode ser revisado por analistas humanos e atua como uma linha de defesa final em caso de classificação incorreta.
O agente de IA também foi equipado com uma ferramenta de validação que pode verificar as evidências do relatório com declarações de especialistas em engenharia reversa de malware que trabalham com a equipe do Project Ire. Com base em testes preliminares, a Microsoft afirma que o Project Ire conseguiu identificar corretamente 90% de todos os arquivos, marcando apenas dois por cento de softwares benignos como malware, atingindo uma precisão de 0,98 e uma taxa de recuperação de 0,83.
Curiosamente, o agente de IA também foi testado em cenários do mundo real. A Microsoft pediu que ele revisasse quase 4 mil arquivos não classificados, que foram supostamente criados após o corte de treinamento do agente; portanto, ele não poderia ter aprendido sobre eles até a data de treinamento.
Operando de forma totalmente autônoma, o Project Ire alcançou uma pontuação de precisão de 0,89, identificando corretamente nove em cada dez arquivos, conforme afirmou a gigante da tecnologia. A taxa de falsos positivos foi de quatro por cento.
“Com base nesses sucessos iniciais, o protótipo do Project Ire será utilizado dentro da organização Defender da Microsoft como Analisador Binário para detecção de ameaças e classificação de software”, informou a empresa.
