Microsoft ha presentado Project Ire, un agente de Inteligencia Artificial autónomo que representa un avance crucial en la ciberseguridad y la detección de malware. Este prototipo es capaz de analizar y clasificar software sin intervención humana, automatizando lo que hasta ahora era un proceso manual, complejo y propenso a errores: la ingeniería inversa completa de un archivo.
Project Ire es el resultado de una colaboración entre Microsoft Research, Microsoft Defender Research y Microsoft Discovery & Quantum, aprovechando la experiencia en seguridad, datos de telemetría global y la investigación en IA.
Clasificación Autónoma y Precisión
El sistema utiliza Modelos de Lenguaje Avanzados (LLM) y un conjunto de herramientas especializadas de ingeniería inversa y análisis binario. A diferencia de otros sistemas de IA en seguridad, Project Ire actúa sin un validador computable definitivo, lo que lo obliga a tomar decisiones recopilando pruebas incrementales, incluso contra adversarios adaptativos.
Resultados clave en pruebas preliminares:
- Precisión Alta: Ha alcanzado una precisión de 0.98 y una capacidad de recuperación (recall) de 0.83 en conjuntos de datos públicos de drivers de Windows.
- Baja Tasa de Falsos Positivos: Identificó correctamente el 90% de los archivos y solo marcó como amenaza el 2% de los archivos benignos, lo que sugiere un alto potencial para su implementación operativa.
- Detección de APT: Fue el primer sistema de Reverse Engineering de Microsoft (humano o máquina) en generar un caso de detección lo suficientemente sólido como para justificar el bloqueo automático de una muestra específica de Amenaza Persistente Avanzada (APT).
Fundamentos Técnicos y Cadena de Pruebas
La arquitectura de Project Ire facilita el razonamiento en múltiples niveles, desde el análisis binario de bajo nivel hasta la interpretación de alto nivel del comportamiento del código.
- Ingeniería Inversa Autónoma: El sistema utiliza descompiladores y herramientas especializadas (incluyendo marcos como angr y Ghidra y herramientas de Project Freta) a través de una API para reconstruir el flujo de control del software.
- Cadena de Evidencias: Cada resultado del análisis se registra en una «cadena de pruebas», un registro detallado y auditable que justifica la conclusión final (maliciosa o benigna) del sistema. Este registro permite la revisión de expertos y el perfeccionamiento del modelo.
- Gestión de la Incertidumbre: El sistema puede activar una herramienta de verificación que contrasta las afirmaciones del informe con las pruebas recopiladas, asegurando la precisión de sus veredictos incluso en casos ambiguos.
De cara al futuro, el prototipo de Project Ire se integrará en Microsoft Defender como un analizador binario, con el objetivo de aumentar la velocidad y precisión para clasificar archivos de cualquier origen, e incluso para detectar malware directamente en la memoria a escala masiva.
