أعلنت شركة مايكروسوفت، يوم الثلاثاء، عن إطلاق وكيل ذكاء اصطناعي مستقل قادر على تحليل وتصنيف البرمجيات بشكل ذاتي، في خطوة تهدف إلى تعزيز قدرات الكشف عن البرمجيات الخبيثة.
يعتمد النظام الجديد، الذي يحمل الاسم الرمزي “مشروع Ire”، على نماذج اللغة الكبيرة (LLM) ويُعدّ نموذجًا أوليًا طورته الشركة لتصنيف البرمجيات الضارة دون تدخل بشري، مستفيدًا من أدوات التحليل الهندسي العكسي وتقنيات التعلم الآلي.
تحليل هندسي شامل دون معرفة مسبقة
أوضحت مايكروسوفت أن هذا النظام “يقوم بأتمتة ما يُعتبر المعيار الذهبي في تصنيف البرمجيات الخبيثة، وهو: إجراء تحليل هندسي عكسي كامل لملف برمجي دون أي معلومات مسبقة عن مصدره أو غايته”. ويعتمد النظام على أدوات فك التشفير ومجموعة من الأدوات الأخرى، لتحليل المخرجات وتحديد ما إذا كان البرنامج ضارًا أم لا.
وتهدف الشركة من خلال هذا المشروع إلى تمكين التصنيف واسع النطاق للبرمجيات الخبيثة، وتسريع الاستجابة للتهديدات، وتقليل الجهود اليدوية التي يبذلها المحللون لفحص العينات البرمجية وتحديد طبيعتها.
أدوات وتقنيات متعددة لتحليل البرمجيات
يعتمد مشروع Ire على أدوات متخصصة في الهندسة العكسية، حيث يُجري تحليلات متعددة المستويات تشمل تحليل البيانات الثنائية منخفضة المستوى، وإعادة بناء تدفق التحكم، بالإضافة إلى تفسير سلوك الكود على مستوى عالٍ.
وأشارت مايكروسوفت إلى أن واجهة برمجة التطبيقات الخاصة باستخدام الأدوات داخل النظام تمكّنه من تحديث فهمه لأي ملف برمجي باستخدام طيف واسع من أدوات الهندسة العكسية، بما في ذلك بيئات التحليل القائمة على مشروع Freta، والأدوات مفتوحة المصدر، وأدوات مخصصة، والبحث في الوثائق، وعدة أدوات لفك التشفير.
يُذكر أن مشروع Freta هو مبادرة بحثية من مايكروسوفت تتيح إجراء عمليات مسح لاكتشاف البرمجيات الخبيثة غير المرصودة، مثل الجذور الخفية (rootkits) والبرمجيات المتقدمة، ضمن لقطات ذاكرة أنظمة Linux الحية.
خطوات دقيقة في عملية التصنيف
يعمل مشروع Ire من خلال سلسلة من الخطوات التحليلية المتتابعة:
-
تحديد نوع الملف وهيكله والمجالات المهمة المحتملة باستخدام أدوات الهندسة العكسية المؤتمتة.
-
إعادة بناء خريطة تدفق التحكم باستخدام أدوات مثل angr وGhidra.
-
تفعيل أدوات متخصصة عبر واجهة API لتحديد وتلخيص الوظائف الرئيسية في الكود.
-
استخدام أداة تحقق لمراجعة النتائج مقابل الأدلة المستخدمة لتصنيف الملف.
ويتم حفظ نتائج هذه الخطوات ضمن “سلسلة أدلة” تفصيلية، مما يتيح لفِرق الأمن السيبراني مراجعة وتدقيق الخطوات المتبعة، خاصة في حالات التصنيف الخاطئ.
نتائج دقيقة وتطبيقات مستقبلية
في تجارب أولية أجراها فريق مشروع Ire على مجموعة من تعريفات برامج التشغيل الخاصة بنظام ويندوز، تمكّن النظام من تصنيف 90% من الملفات بشكل دقيق، بينما أخطأ في تصنيف 2% فقط من الملفات السليمة على أنها ضارة. وفي اختبار آخر شمل نحو 4,000 ملف من الملفات “الصعبة”، استطاع النظام تصنيف نحو 90% من البرمجيات الضارة بشكل صحيح، بنسبة إنذارات كاذبة لم تتجاوز 4%.
بناءً على هذه النتائج، تخطط مايكروسوفت لاستخدام النموذج الأولي لمشروع Ire داخل منظومة Microsoft Defender تحت اسم “محلل الملفات الثنائية” (Binary Analyzer) للمساعدة في اكتشاف التهديدات وتصنيف البرمجيات.
وأكدت الشركة أن الهدف هو توسيع نطاق ودقة النظام ليصبح قادرًا على تصنيف أي ملف من أي مصدر، حتى عند مواجهته للمرة الأولى، مضيفة: “رؤيتنا النهائية هي اكتشاف البرمجيات الخبيثة الجديدة مباشرة من الذاكرة، وعلى نطاق واسع”.
مايكروسوفت تمنح 17 مليون دولار للباحثين الأمنيين
يأتي هذا التطور في وقت أعلنت فيه مايكروسوفت عن منحها مكافآت مالية قياسية بلغت 17 مليون دولار أمريكي لـ344 باحثًا أمنيًا من 59 دولة ضمن برنامجها للإبلاغ عن الثغرات الأمنية في عام 2024.
وقد تلقت الشركة 1,469 تقريرًا مؤهلاً عن ثغرات أمنية بين يوليو 2024 ويونيو 2025، وبلغت أعلى مكافأة فردية 200,000 دولار. في العام السابق، كانت قيمة الجوائز 16.6 مليون دولار وُزعت على 343 باحثًا من 55 دولة.
