Angreifer nutzen längst nicht mehr nur ausführbare Dateien als Überbringer von Malware, auch Skripte dienen oft als Einfallstor. Im April erweiterte Google den Analysedienst VirusTotal um die Möglichkeit, PowerShell-Skripte KI-basiert zu analysieren.

Hierfür untersuchte die Code Insight genannte Funktion die Abläufe im Skript und bewertete deren Verhalten. Nun ist dies auch mit Batch-Dateien, Kommandozeilenbefehlen, Shell- sowie VB-Skripten möglich. Das Modell liefert außerdem laut Google nun prägnantere und zielgerichtetere Erklärungen und legt ein größeres Augenmerk auf das Verhalten des Codes.

Ein Problem bei der Analyse von Skripten ist jedoch, dass sich allein aus dem Verhalten eines Skripts nicht unbedingt schließen lässt, ob es schädlich ist oder nicht. Dies liegt am fehlenden Kontext, in dem es läuft – lädt es beispielsweise eine Malware oder eine legitime Setupdatei  für einen Software-Rollout herunter? Daher arbeitet Google daran, künftig auch die in Skripten hinterlegten URLs und referenzierten Dateien mitzubewerten.

Nicht zuletzt hat das Team die Größe der analysierbaren Skripte ausgebaut und plant, künftig noch umfangreichere Dateigrößen zuzulassen. Der limitierende Faktor ist hier das Token-Limit im verwendeten Large Language Model, das die Skriptzeilen auswertet.