微软Project Ire项目利用AI自主逆向工程并分类软件性质

微软近日公布了Project Ire项目，这是一个能够自主进行逆向工程并分类软件性质的人工智能（AI）系统。该系统由大型语言模型（LLM）驱动，通过使用反编译器等工具分析软件输出结果，最终确定软件属于恶意还是良性。

微软在公告中表示："今天我们很高兴推出这款能够独立分析和分类软件的自主AI代理，这是网络安全和恶意软件检测领域的重要进步。原型项目Project Ire实现了恶意软件分类的黄金标准——在没有任何来源或目的线索的情况下，完全逆向工程一个软件文件。"

技术实现与性能指标

Project Ire由微软研究和安全团队开发，结合AI与逆向工程工具，在恶意软件分类任务中达到了0.98的精确度和0.83的召回率。值得注意的是，这是微软首个（无论是人类还是机器）能够为APT（高级持续威胁）恶意软件撰写定罪案例的逆向工程系统，其分析结果可直接触发Microsoft Defender的自动拦截功能。

该系统建立在GraphRAG和Microsoft Discovery等技术合作基础上，将AI与全球恶意软件遥测数据相结合，实现了高级威胁检测能力。微软指出，虽然Microsoft Defender每月扫描超过10亿台设备，但由于威胁的复杂性和模糊性，恶意软件分类仍高度依赖专家评审。

解决行业痛点

安全分析师长期面临手动工作导致的疲劳和职业倦怠，特别是许多软件行为并不能明确指示其恶意性质。与其他AI安全任务不同，恶意软件分类缺乏明确的验证标准，这使得自动化变得困难，也凸显了对可扩展智能解决方案的需求。

公告进一步说明："Project Ire试图通过作为自主系统使用专业工具进行软件逆向工程来解决这些挑战。该系统架构支持多层次的推理，从低级二进制分析到控制流重建，再到代码行为的高级解释。"

工作原理与验证流程

Project Ire的工作流程分为四个阶段：

1. 使用智能工具识别文件属性及工作原理
2. 通过angr和Ghidra等工具绘制软件运行图谱
3. 利用AI研究软件关键部分并构建清晰的证据链
4. 交叉验证发现结果并生成完整报告

该系统在Windows驱动程序测试集上表现优异，正确识别了90%的文件，仅将2%的良性文件误判为威胁。微软总结道："这种低误报率表明其在安全运营部署方面具有明显潜力，可作为专家逆向工程评审的补充。"对于每个分析文件，Project Ire都会生成包含证据部分、所有检查代码功能摘要和其他技术工件的详细报告。