AI在恶意软件分析中的新变革

文章重点

AI，尤其是大型语言模型LLM，在代码分析上的应用正在增加，为恶意软件检测带来新的见解。Google的Vicente Diaz介绍了VirusTotal Code Insight的工作原理及其在恶意软件样本分析中的成就。LLM在检测和去混淆恶意代码方面的表现优于传统的防病毒软件。

位于旧金山的RSA Conference 2024中，Google威胁情报策略师Vicente Diaz在其主题为AI如何改变恶意软件格局的演讲中，重点不是讨论LLMs如何编写代码，而是它们如何阅读和总结代码，这有助于发现新见解以进行病毒检测和分析。

想了解更多RSA Conference的即时报导，请访问这里。

在周一的下午的会议中，Diaz探讨了自从去年RSAC首次推出VirusTotal Code Insight以来的一些经验教训。Code Insight利用Google Cloud Security AI Workbench的力量，通过LLM生成用户上传到VirusTotal的代码样本的自然语言摘要。

传统防病毒软件往往会给出恶意或非恶意的二元回应，而Code Insight则提供更具质性的描述，为脚本可能的恶意或合法使用提供了背景。Diaz指出，这一功能对于灰色案例特别有帮助，例如判断某个潜在良性安装程序是否可能作为恶意软件的载体。

Diaz的演讲总结了自去年四月推出以来，Code Insight对65万多个恶意软件样本的分析见解。在这段时间内，VirusTotal团队对AI的能力与传统防病毒检测器进行了令人惊讶的发现。

例如，Code Insight能检测到传统防病毒软件常常忽视的CVE漏洞由LLM检测到的这些利用脚本中，有41未被防病毒软件标记为恶意。此外，Code Insight在去混淆恶意代码方面的能力非常出色，传统工具仅在5的情况下标记出由AI标记的混淆代码。

白鲸加速器教程

由于对混淆代码的分析存在这一差异，AI和防病毒软件在涉及PHP文件的判断中，存在超过25的不同，而对于Microsoft Office文件和Powershell文件的不同判断则低于2和4。

从LLMs获得第二意见可以为恶意软件分析师节省时间，并帮助发现通常不会引起注意的恶意软件，Diaz说道。在被问及AI是否可能产出不准确描述或产生幻觉是个问题时，Diaz告诉SC Media，它的稳定性超出我们的想像。

Diaz表示，尽管由于分析样本的数量，并非所有Code Insight生成的摘要都经过人工检查准确性，但对于同一段代码，LLM通常能在重要因素如妥协指标方面提供一致的输出，而团队至今尚未见到任何特别奇怪的输出。

AI或更有助于恶意软件分析师而非创作者

Diaz的演讲还谈到了恶意软件创作者如何利用AI，甚至试图欺骗如Code Insight这样的AI工具。例如，一个含有创建小狗功能的恶意软件样本，尽管仍被Code Insight标记为恶意，但