Microsoft ha dado a conocer Project Ire, un prototipo de agente autónomo de inteligencia artificial capaz de analizar archivos de software y determinar si contienen código malicioso.
Este proyecto fue desarrollado por equipos de Microsoft Research, Microsoft Defender Research y Microsoft Discovery & Quantum, con el objetivo de automatizar y escalar el proceso de ingeniería inversa y clasificación de software, eliminando la necesidad de contexto previo.
Para lograrlo, Project Ire utiliza descompiladores y herramientas de ingeniería inversa que extraen información clave para evaluar si un archivo es benigno o malicioso, generando además una cadena de evidencia verificable que respalda su análisis.
Según Microsoft, “la arquitectura del sistema permite razonar en múltiples niveles, desde el análisis binario de bajo nivel hasta la reconstrucción del flujo de control y la interpretación de comportamiento del código en niveles más altos”.
Gracias a su API de herramientas, el sistema puede actualizar su comprensión de un archivo utilizando una amplia gama de recursos, como entornos de análisis de memoria basados en Project Freta, herramientas personalizadas y de código abierto, motores de búsqueda de documentación y varios descompiladores.
El objetivo principal de Project Ire es reducir errores humanos, combatir la fatiga de los analistas y mejorar la velocidad de respuesta ante amenazas, especialmente frente a ataques cada vez más complejos y sofisticados.
Los resultados iniciales en pruebas fueron prometedores:
- En un conjunto de drivers de Windows, el sistema clasificó correctamente el 90% de los archivos, con solo un 2% de falsos positivos.
- En otra prueba con aproximadamente 4,000 archivos que habían sido asignados para análisis manual, Project Ire identificó correctamente 9 de cada 10 archivos maliciosos, con una tasa de falsos positivos del 4%. Sin embargo, solo detectó cerca del 25% del total de malware real.
Microsoft reconoció que el rendimiento general fue moderado, pero destacó que las condiciones de prueba eran exigentes y que los resultados muestran un “potencial real para futuras implementaciones”.
Como siguiente paso, Microsoft planea integrar el prototipo en su solución Microsoft Defender bajo el nombre de “Binary Analyzer”, donde contribuirá a la detección de amenazas y clasificación de software.
“Nuestra visión a futuro”, señaló Microsoft, “es escalar la velocidad y precisión del sistema para que pueda clasificar archivos de cualquier fuente de forma confiable, incluso en su primer encuentro. A largo plazo, aspiramos a detectar malware nuevo directamente en la memoria, y a gran escala”.