Microsoft เปิดตัว Project Ire: ระบบ AI อัตโนมัติ วิเคราะห์และจำแนกมัลแวร์

 

ไมโครซอฟท์ประกาศเปิดตัว Project Ire ซึ่งเป็นระบบปัญญาประดิษฐ์ (AI) แบบอัตโนมัติ ที่สามารถวิเคราะห์และจำแนกซอฟต์แวร์ได้ด้วยตัวเองโดยไม่ต้องอาศัยการช่วยเหลือจากมนุษย์ เพื่อพัฒนาความสามารถในการตรวจจับมัลแวร์ให้ก้าวล้ำไปอีกขั้น

Project Ire ซึ่งปัจจุบันยังเป็นต้นแบบ (prototype) เป็นระบบจำแนกมัลแวร์ที่ขับเคลื่อนด้วยโมเดลภาษาขนาดใหญ่ (LLM) โดยไมโครซอฟท์กล่าวว่าระบบนี้สามารถ "ทำงานอัตโนมัติในสิ่งที่เป็นมาตรฐานสูงสุดของการจำแนกมัลแวร์ นั่นคือการทำวิศวกรรมย้อนรอย (reverse engineering) ไฟล์ซอฟต์แวร์อย่างสมบูรณ์โดยไม่มีข้อมูลเบื้องต้นเกี่ยวกับที่มาหรือวัตถุประสงค์ของมันเลย" ระบบจะใช้เครื่องมืออย่าง decompilers และอื่นๆ เพื่อตรวจสอบผลลัพธ์ และตัดสินว่าซอฟต์แวร์นั้นเป็นมัลแวร์หรือเป็นซอฟต์แวร์ที่ปลอดภัย

เป้าหมายของ Project Ire คือการจำแนกมัลแวร์ในวงกว้าง เร่งการตอบสนองต่อภัยคุกคาม และลดภาระงานของนักวิเคราะห์ที่ต้องตรวจสอบตัวอย่างซอฟต์แวร์ด้วยตนเอง โดยระบบจะใช้เครื่องมือเฉพาะทางในการทำวิศวกรรมย้อนรอยซอฟต์แวร์ และวิเคราะห์ในหลายระดับ ตั้งแต่การวิเคราะห์โค้ดไบนารีระดับต่ำ ไปจนถึงการสร้างผังการไหลของโปรแกรมใหม่ และการตีความพฤติกรรมของโค้ดในระดับสูง

ระบบนี้สามารถอัปเดตความเข้าใจเกี่ยวกับไฟล์ด้วยเครื่องมือวิศวกรรมย้อนรอยที่หลากหลายผ่าน API ซึ่งรวมถึงเครื่องมือวิเคราะห์หน่วยความจำของไมโครซอฟท์ที่อิงจาก Project Freta (โครงการวิจัยของไมโครซอฟท์ที่สามารถตรวจหามัลแวร์ที่ซ่อนอยู่ เช่น rootkits ในหน่วยความจำของระบบ Linux) เครื่องมือที่พัฒนาขึ้นเองและแบบโอเพนซอร์ส รวมถึงการค้นหาเอกสารและ decompilers หลายตัว

กระบวนการวิเคราะห์ของ Project Ire มีหลายขั้นตอน:

1. เครื่องมือวิศวกรรมย้อนรอยอัตโนมัติ จะระบุประเภทของไฟล์ โครงสร้าง และส่วนที่น่าสงสัย

2. ระบบ จะสร้างผังการไหลของโปรแกรม (control flow graph) ใหม่ โดยใช้เฟรมเวิร์กอย่าง angr และ Ghidra

3. LLM จะเรียกใช้เครื่องมือเฉพาะทางผ่าน API เพื่อระบุและสรุปฟังก์ชันหลัก

4. ระบบ จะเรียกใช้เครื่องมือตรวจสอบ (validator tool) เพื่อยืนยันผลการวิเคราะห์กับหลักฐานที่ใช้ในการตัดสินใจ และจำแนกประเภทของไฟล์

ผลการสรุปจะถูกจัดทำเป็นบันทึก "ห่วงโซ่หลักฐาน" (chain of evidence) โดยละเอียด ซึ่งแสดงให้เห็นว่าระบบได้ข้อสรุปอย่างไร ทำให้ทีมรักษาความปลอดภัยสามารถตรวจสอบและปรับปรุงกระบวนการได้ในกรณีที่มีการจำแนกผิดพลาด

จากการทดสอบของทีม Project Ire กับชุดข้อมูลไดรเวอร์ Windows สาธารณะ ระบบสามารถจำแนกไฟล์ได้อย่างถูกต้องถึง 90% และระบุไฟล์ที่ปลอดภัยผิดพลาดว่าเป็นภัยคุกคามเพียง 2% เท่านั้น ในการประเมินครั้งที่สองกับไฟล์ "เป้าหมายยาก" เกือบ 4,000 ไฟล์ ระบบสามารถจำแนกไฟล์ที่เป็นอันตรายได้ถูกต้องเกือบ 9 ใน 10 ไฟล์ โดยมีอัตราการแจ้งเตือนผิดพลาด (false positive) เพียง 4%

จากความสำเร็จเบื้องต้นนี้ ต้นแบบ Project Ire จะถูกนำไปใช้ภายในองค์กร Microsoft Defender ในฐานะ Binary Analyzer สำหรับการตรวจจับภัยคุกคามและการจำแนกซอฟต์แวร์ โดยมีเป้าหมายสูงสุดคือการเพิ่มความเร็วและความแม่นยำของระบบให้สามารถจำแนกไฟล์จากแหล่งใดๆ ได้อย่างถูกต้อง แม้จะเพิ่งพบเห็นเป็นครั้งแรก และในที่สุดก็สามารถตรวจจับมัลแวร์ใหม่ได้โดยตรงในหน่วยความจำและในวงกว้าง

การพัฒนานี้เกิดขึ้นในช่วงเวลาที่ไมโครซอฟท์รายงานว่าได้มอบรางวัลให้กับนักวิจัยด้านความปลอดภัยเป็นสถิติใหม่ถึง 17 ล้านดอลลาร์สหรัฐฯ ให้กับนักวิจัย 344 คนจาก 59 ประเทศผ่านโปรแกรมรายงานช่องโหว่ในปี 2024 โดยมีรายงานช่องโหว่ที่เข้าเกณฑ์ทั้งหมด 1,469 รายงาน และรางวัลสูงสุดสำหรับนักวิจัยแต่ละคนสูงถึง 200,000 ดอลลาร์สหรัฐฯ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก