Microsoft presenta Project Ire, l’agente AI che analizza e classifica malware in autonomia | Chat gpt in italiano | Chat gpt login free | Chatgpt gratis android | Turtles AI

Project Ire è un agente AI autonomo di Microsoft che analizza, decompila e classifica senza assistenza la pericolosità di file software sospetti. Durante test su driver Windows ha mostrato elevata precisione con falsi positivi minimi.

Punti chiave:

•  Precisione del 98 % con richiamo dell’83 % su dataset pubblici di driver Windows
•  Precisione dell’89 % ma richiamo del 26 % su circa 4.000 file “hard‑target” non classificati automaticamente
•  Genera una “catena di prove” tracciabile e verificabile per ogni verdict
•  Integrerà Binary Analyzer in Microsoft Defender per analisi su larga scala

Project Ire è stato sviluppato congiuntamente da Microsoft Research, Microsoft Defender Research e Microsoft Discovery & Quantum, con l’obiettivo di automatizzare il processo considerato gold standard nella classificazione del malware: il reverse engineering completo di file software senza alcun contesto iniziale. La piattaforma fa uso di modelli linguistici avanzati disponibili tramite Azure AI Foundry, che orchestrano strumenti di decompilazione, sandbox di analisi della memoria (come Project Freta), tool custom e open source, nonché ricerche nella documentazione tecnica.

Il flusso operativo inizia con un triage automatizzato che identifica tipo e struttura del file, seguito dalla ricostruzione del grafo del flusso di controllo con framework come angr e Ghidra, che costituisce la base del modello di memoria interno del sistema . Successivamente, il modello analizza le funzioni chiave richiamando strumenti specializzati tramite API, costruendo una catena di prove che rende ogni decisione verificabile.

Per garantire affidabilità, il sistema può invocare uno strumento di validazione che confronta le affermazioni del report con la catena di prove, confrontandole con le dichiarazioni di esperti di reverse engineering del malware. Questo processo produce infine un rapporto tecnico dettagliato che classifica il file come dannoso o benigno sulla base delle evidenze raccolte.

Nei test preliminari su un dataset pubblico di driver Windows, in cui alcuni erano noti come malware appartenenti al database dei driver Living off the Land e altri riconosciuti come benigni da Windows Update, il sistema ha identificato correttamente il 90 % dei file e generato un tasso di falsi positivi dell’ordine del 2 %. In tale contesto la precisione è risultata pari a 0,98 e il recall a 0,83.

Un secondo test, più realistico e impegnativo, ha comportato l’analisi di circa 4.000 file “hard‑target” che erano stati esclusi dai sistemi automatici e destinati a revisione manuale da parte di esperti. In questo caso la precisione è risultata pari a 0,89 (falsi positivi intorno al 4 %) ma con recall del solo 26 %, il che indica che il sistema ha rilevato circa un quarto di tutto il malware esistente nel set. Microsoft ha però sottolineato che, nonostante le condizioni di test difficili, la combinazione di alta accuratezza e bassi errori suggerisce un potenziale concreto per l’adozione operativa.

Il colossale volume di file analizzati tramite Defender–oltre un miliardo di dispositivi attivi ogni mese–costringe ancora spesso gli esperti ad affrontare un carico di lavoro enorme, fatica da alert e difficoltà nel mantenere coerenza tra revisioni diverse. Project Ire può contribuire a ridurre il burnout degli analisti e standardizzare la classificazione su scala globale.

Il prototipo sarà integrato nella piattaforma Microsoft Defender come Binary Analyzer per supportare la rilevazione delle minacce e la classificazione automatica del software. L’obiettivo futuro è estendere la capacità del sistema in modo da classificare correttamente file provenienti da qualunque origine fin dal primo contatto, con l’ambizione di rilevare malware emergenti direttamente in memoria e su larga scala.

 Project Ire rappresenta un avanzamento tecnico significativo nel campo dell’analisi autonoma del malware, un passo concreto verso procedure più efficienti, tracciabili e compatte: resta solo da verificare come si evolverà nelle implementazioni reali.