Umelá inteligencia sa stáva novou zbraňou v boji proti kybernetickým hrozbám. Aj keď generatívne AI nástroje ako ChatGPT a Gemini môžu byť teoreticky zneužité na tvorbu malvéru, ich vývojári ich vybavili množstvom bezpečnostných obmedzení. Hackeri však vedia obísť limity alebo si jednoducho vytvoria vlastný open-source AI systém.
No AI dnes neslúži len útočníkom – práve naopak. Spoločnosti ako Microsoft či Google čoraz častejšie nasadzujú umelú inteligenciu na obranu. Príkladom je nový systém od Microsoftu – Project Ire – ktorý je navrhnutý tak, aby samostatne analyzoval a klasifikoval podozrivý softvér bez zásahu ľudí.
Ako funguje Project Ire?
Projekt Ire prechádza viacerými fázami:
- Triedenie – AI najprv identifikuje typ podozrivého softvéru a určí oblasti záujmu.
- Spätná analýza – Pomocou nástrojov ako angr a Ghidra analyzuje tok riadenia programu a rekonštruuje jeho správanie.
- Zhrnutie funkcií – AI definuje, čo presne softvér robí a vedie o tom protokol.
- Overenie – Pomocou vnútorného systému porovnáva zistenia s predchádzajúcimi prípadmi a znalosťami odborníkov.
- Záverečný verdikt – AI rozhodne, či je softvér škodlivý, alebo nie.
Prvé výsledky: sľubné, ale AI ešte potrebuje dozrieť
Podľa Microsoftu dosiahla AI v testoch na vzorkách ovládačov Windows presnosť 98 % a recall (mieru zachytených hrozieb) 83 %. V zložitejšom teste s takmer 4 000 náročných prípadov AI zachytila 9 z 10 hrozieb, no recall klesol len na 26 %, čo ukazuje, že stále existuje priestor na zlepšenie.
Napriek tomu ide o prelom – Project Ire bol prvým nástrojom v Microsofte, ktorý samostatne identifikoval konkrétny typ pokročilého škodlivého softvéru APT, čo viedlo k jeho zablokovaniu pomocou Microsoft Defender.
Čo to znamená pre budúcnosť bezpečnosti?
Project Ire by sa mohol stať základom pre nové generácie bezpečnostných nástrojov – od ochrany cloudových služieb, až po inteligentné antivírusové programy pre domácnosti, ktoré nebudú len reaktívne, ale aj proaktívne a autonómne.
Microsoft má ambíciu tento nástroj ďalej rozvíjať a škálovať tak, aby dokázal presne klasifikovať akýkoľvek softvér, aj pri prvom kontakte. Konečnou víziou je schopnosť odhaľovať nový malvér priamo v pamäti zariadení – v reálnom čase, bez potreby ľudského zásahu.
