Mit Project Ire hat Microsoft ein neues KI-System vorgestellt, das Schadsoftware vollständig autonom erkennen und analysieren kann – ganz ohne Vorwissen über deren Herkunft oder Funktion. Das System setzt auf moderne Sprachmodelle und spezialisierte Werkzeuge zur Binäranalyse, um Softwaredateien zu dekompilieren, deren Verhalten zu interpretieren und sie als harmlos oder gefährlich einzustufen. Damit greift die KI erstmals in einen Prozess ein, der bislang erfahrenen Analysten vorbehalten war – das vollständige Reverse Engineering verdächtiger Software.

Spezielle Analysetools im Einsatz

Hinter dem Projekt stehen Microsoft Research, die Microsoft Defender Research Group sowie das Team von Microsoft Discovery & Quantum. Gemeinsam entwickelten sie ein Agentensystem, das sich auf Erfahrungen aus früheren Projekten wie GraphRAG stützt. Die Herangehensweise von Project Ire orientiert sich an der forensischen Arbeitsweise menschlicher Analysten – nur automatisiert und skalierbar. Zunächst wird die verdächtige Datei mithilfe von Reverse-Engineering-Tools wie Ghidra oder angr zerlegt, um ihren Aufbau und Kontrollfluss zu rekonstruieren.

Anschließend ruft die KI über eine API spezialisierte Werkzeuge auf, um einzelne Funktionen im Code zu analysieren und deren Verhalten zu interpretieren. Die Ergebnisse fließen in eine "Beweiskette" ein, die nachvollziehbar dokumentiert, wie das System zu seinem Urteil gelangt ist. Ein integrierter Validator prüft die Einschätzungen zusätzlich auf Plausibilität anhand von Expertenwissen, bevor die finale Klassifikation erfolgt – entweder als unbedenklich oder als potenziell gefährlich.

Hohe Trefferquote unter realen Bedingungen

Erste Tests verliefen vielversprechend: In der Analyse öffentlicher Datensätze mit Windows-Treibern erzielte Project Ire eine Präzision (Wie viele der als Malware eingestuften Dateien sind tatsächlich schädlich?) von 0,98 und eine Trefferquote (Wie viele der tatsächlich vorhandenen Malware-Dateien hat das System erkannt?) von 0,83.

Die KI war dabei der erste Analyst bei Microsoft – menschlich oder maschinell –, das selbstständig einen "Conviction Case" gegen eine hochentwickelte Malware verfasste, der anschließend zur Blockierung durch Defender führte. Auch komplexe Bedrohungen wie Kernel-Rootkits oder Antiviren-Killer-Tools erkannte die KI korrekt anhand technischer Merkmale wie Prozess-Manipulation, Netzwerkverkehr oder Code Injection.

Neben kontrollierten Tests wurde Project Ire auch unter realen Bedingungen geprüft: In einer Stichprobe von knapp 4000 bislang nicht klassifizierten Dateien zeigte das System eine Präzision von 0,89 und nur vier Prozent Fehlalarme. Auch wenn die Trefferquote bei unbekannter Malware in diesem Szenario noch bei 26 Prozent lag, deutet die geringe Fehlerquote auf ein hohes Potenzial für künftige Anwendungen hin. Die automatisierte Analyse könnte somit als Entlastung für überlastete Sicherheitsanalysten dienen, die bislang jeden Verdachtsfall einzeln prüfen müssen.

Malwareanalyse bereits im Arbeitsspeicher

Microsoft plant, Project Ire künftig als festes Werkzeug unter dem Namen "Binary Analyzer" in seine Defender-Produkte zu integrieren. Die Integration soll dabei helfen, das System weiter zu trainieren und seine Einsatzfähigkeit im Alltag zu erproben. Langfristig verfolgt Microsoft das Ziel, Project Ire so weiterzuentwickeln, dass es beliebige Dateien – unabhängig von Quelle, Format oder Bekanntheitsgrad – direkt beim ersten Auftreten korrekt klassifizieren kann.

Perspektivisch soll die KI sogar in der Lage sein, neuartige Malware direkt im Arbeitsspeicher zu erkennen, noch bevor sie sich auf dem System einnisten kann. Damit könnte Project Ire nicht nur als Assistenzsystem für Analysten fungieren, sondern zu einem entscheidenden Baustein in einer skalierbaren, automatisierten Cyberabwehr werden.