We hid backdoors in ~40MB binaries and asked AI + Ghidra to find them
4 days ago
- #AI Security
- #Malware Detection
- #Binary Analysis
- AI代理能够检测二进制可执行文件中的某些隐藏后门,但该方法尚未达到生产就绪水平。
- Claude Opus 4.6仅在49%的情况下能检测出中小型二进制文件的后门,且误报率较高。
- 二进制分析涉及将机器代码逆向工程为汇编和伪C代码,这一过程相当繁琐。
- 基准测试使用开源项目并人工注入后门,以测试AI的检测能力。
- Claude通过追踪popen()函数的使用和分析反编译代码,成功识别出lighttpd中的一个后门。
- AI模型经常遗漏明显的后门,将其合理化解释为合法功能,例如在DHCP后门案例中。
- 当前的大型语言模型缺乏战略聚焦,常常随机反编译函数而非优先分析高风险区域。
- 误报是一个严重问题,模型在28%的情况下会报告不存在的后门。
- Ghidra和Radare2等开源工具在分析Rust和Go二进制文件时,性能落后于商业替代方案。
- AI可以使初步安全审计更易进行,但目前还无法可靠地用于端到端的恶意软件检测。