VirusTotal利用生成式AI进行恶意软件分析

VirusTotal引入基于人工智能的代码分析特征——Code Insight。

在4月23日举办的RSA 2023大会上，谷歌云安全AI Workbench介绍了VirusTotal的新功能——Code Insight。Code Insight是基于生成式人工智能模型的恶意软件分析工具，可以为安全专家和分析人员提供被分析代码的深度分析，增强其检测和修复潜在威胁的能力。

人工智能和机器学习在恶意软件分析和网络安全方面起着非常重要的作用，主要是分类任务。近期大火的大语言模型扩展了人工智能在文本生成和总结方面的能力。

如果将模型在编程语言上进行训练，就可以将代码变成自然语言的解释。这一创新不仅可以加速恶意软件分析，还可以广泛应用于网络安全领域。意识到其技术潜力，研究人员将其融入到VirusTotal平台，以增强其能力。

Code Insight是基于谷歌云AI生成式AI模型 Sec-PaLM的新功能。目前，该功能用于分析上传到VirusTotal平台的PowerShell文件。该系统还可以排除之前分析过的高度类似的文件，以及过大的文件。这种方法允许对分析资源的更高效利用，确保只有最相关的文件被分析。未来，将支持更多种类型的文件格式。

比如，上传到VirusTotal的文件只有3个引擎检测到是恶意文件。Code Insight功能可以提供如下的解释：

需要强调的是，Code Insight是独立进行分析的，只依赖被处理的文件的内容，并不会访问其他杀毒软件的结果或相关的元数据。如下遇到假阳性的情况，Code Insight的解释可以帮助检测没有被VirusTotal的其他杀毒软件检测到的恶意软件：

比如，有一个文件被9个杀毒引擎识别为木马和恶意软件，但事实上是假阳性。Code Insight的解释就可以帮助预防此类情况，事实上该文件只是一个安装Postman CLI的脚本：

Code Insight证明了其改善VirusTotal上文件分类的能力。将语言大模型融入到代码分析工具中是一个明显的进步，可以帮助安全人员更加了解恶意代码的结构和行为，改善威胁检测和响应的效率。