Microsoft reveló el martes el Proyecto IRE, un nuevo agente de IA que de ingeniería inversa de forma autónoma y clasifica el software malicioso. El movimiento aumenta la carrera armamentista de seguridad cibernética de IA, colocando al cazador de malware de Microsoft contra el agente”Big Sleep”de Google, que se centra en encontrar fallas de software.
desarrollado por los equipos de investigación y seguridad de Microsoft, Project IRE tiene como objetivo automatizar el complejo trabajo de análisis de malware. Esto permite a los equipos de seguridad escalar sus defensas contra ataques sofisticados y impulsados por la IA y libera a los expertos humanos para centrarse en las amenazas más críticas.
El anuncio subraya una divergencia estratégica en la forma en que los gigantes tecnológicos están armando la IA para la defensa. Mientras Google Hunt para vulnerabilidades en código, Microsoft ahora está dirigido a los binarios maliciosos.
El”estándar de oro”del análisis de malware
Microsoft dice que el nuevo sistema”automatiza lo que se considera el estándar de oro en la clasificación de malware: inversa completamente en ingeniería de un archivo de software sin ninguna pista sobre su origen o propósito”. El prototipo surgió de a
El agente opera mediante el uso de modelos de lenguaje avanzado, disponibles a través de Azure Ai Foundry, para dirigir un conjunto de herramientas especializadas. Su arquitectura le permite razonar en múltiples niveles, desde el análisis binario de bajo nivel hasta la interpretación de alto nivel del comportamiento del código, distinguiéndolo de herramientas que simplemente coinciden con los patrones. El proceso de análisis comienza con un triaje, donde las herramientas automatizadas identifican el tipo de archivo y la estructura. A partir de ahí, el sistema reconstruye el gráfico de flujo de control del software utilizando marcos de fuente abierta como ghidra y angr . Esto crea un mapa lógico de la ruta de ejecución del programa, formando la columna vertebral del modelo de memoria de la IA. A través del análisis de funciones iterativas, la IA llama herramientas especializadas para identificar y resumir las funciones clave. Cada resultado se alimenta en una”cadena de evidencia”, una ruta detallada y auditable que muestra cómo el sistema llegó a su conclusión. Este registro es crucial para Revisión humana y refinamiento del sistema . para asegurar que sus conclusiones sean concluyentes, el proyecto, el proyecto, el proyecto, los que usan la revisión humana y el reverencia del sistema
para garantizar que sus conclusiones sean concluyentes, el proyecto, el proyecto, el proyecto, los que usan la revisión humana y el reverencia del sistema .
Verifica sus afirmaciones en contra de una base de conocimiento de declaraciones expertas de los propios ingenieros de malware de Microsoft. En un caso, fue el primer sistema en Microsoft, humano o máquina, para autorizar un informe de amenaza lo suficientemente fuerte como para activar un bloque automático por sí solo.
En las primeras pruebas en los controladores públicos de Windows, el sistema fue altamente preciso, logrando un 98% de precisión y marcó incorrectamente archivos seguros en solo el 2% de los casos. Esta baja tasa de falsos positivos sugiere un claro potencial de implementación en las operaciones de seguridad.
Cuando se probó con casi 4,000 archivos de”objetivo duro”que habían perturbado otros sistemas automatizados, logró un 89% de precisión y un 26% de recuperación, con una tasa de 4% de falso positivo. Si bien el retiro fue moderada, su precisión en estos casos difíciles resalta su potencial para aumentar el análisis humano.
La carrera armamentista de IA en ciberseguridad
El debut del proyecto IRE llega en medio de una competencia más amplia e intensificadora en seguridad dirigida por AI. Su enfoque en la clasificación de malware contrasta bruscamente con el proyecto Big Sleep de Google, que recientemente ha llamado la atención para descubrir autónomos 20 nuevas vulnerabilidades en software de código abierto ampliamente utilizado como FFMPEG e ImageMagick.
El agente de Google, un producto de sus equipos cero de Project y Elite de DeepMind y Elite, ha mostrado una evolución rápida y deliberada. El proyecto primero demostró su potencial a fines de 2024 al descubrir un error en el motor de la base de datos SQLite. Las apuestas se elevaron considerablemente en julio de 2025, cuando Google reveló que Big Sleep había neutralizado proactivamente una amenaza inminente, CVE-2025-6965, en una carrera directa contra los atacantes.
A diferencia de los métodos tradicionales como la confusión, Big Sleep usa LLM para un análisis de raíz profunda, simulando el enfoque de un investigador humano. El vicepresidente de ingeniería de Google, Royal Hansen, celebró los hallazgos como”una nueva frontera en el descubrimiento de vulnerabilidad automatizado”.
Esta tendencia no se limita a solo dos jugadores. Está surgiendo un ecosistema creciente de herramientas de seguridad de IA de nuevas empresas y empresas establecidas. Otros gigantes tecnológicos están construyendo sistemas complementarios. Meta, por ejemplo, anunció recientemente AutoPatchBench para evaluar qué tan bien la IA puede arreglar automáticamente los errores, junto con LlamaFireWall, una herramienta diseñada para evitar que los modelos de IA generen código inseguro en primer lugar. Mientras tanto, herramientas como Runsybil y Xbow también están en los titulares, con Xbow recientemente Toming una placa de clasificación de hackerone .
Sin embargo, esta innovación es una nuca doble. Los mismos modelos de IA utilizados para la defensa también pueden perpetuar las prácticas de codificación inseguros. La investigación académica reciente reveló que muchos LLM, entrenados en código público de Github, han aprendido a replicar viejos errores, un fenómeno denominado problema de”LLM envenenado”. Esto crea un círculo vicioso en el que las herramientas destinadas a construir el futuro están heredando los errores del pasado.
La naturaleza de doble uso de la IA está obligando a una rápida evolución en las estrategias defensivas, a medida que los ataques impulsados por la IA se vuelven más sofisticados. Como Sheetal Mehta de los datos de NTT señaló en un contexto relacionado,”las herramientas de seguridad fragmentadas no pueden mantenerse al día con los ataques automatizados de hoy”. Esto refleja un consenso creciente sobre la necesidad de aprovechar la IA para la defensa al tiempo que mitiga su potencial de uso indebido.
Como el Brad Smith de Microsoft declaró anteriormente:”Nuestro objetivo debe ser mantener la IA avanzando como una herramienta defensiva más rápido que avanza como arma ofensiva”. El desarrollo de agentes especializados como IRE y Big Sleep representa un frente crítico en esa batalla.
equilibrando la automatización con experiencia humana
Si bien la automatización promete ayudar a los equipos de seguridad abrumadores, también crea nuevos desafíos. Una preocupación clave de la industria es”AI Slop”, un término para la avalancha de informes de errores de baja calidad o irrelevantes generados por herramientas automatizadas.
Esto puede fatiga a los mantenedores voluntarios de proyectos de código abierto. Como Vlad Ionescu, cofundador de la startup de seguridad de IA, Runsybil, dijo a TechCrunch:”Ese es el problema con el que la gente se encuentra, es que estamos obteniendo muchas cosas que parecen oro, pero en realidad es solo una mierda”. Un portavoz de Google, Kimberly Samra, confirmó que”para garantizar informes de alta calidad y acción, tenemos un experto humano en el bucle antes de informar, pero el agente de IA encontró y reproducido cada vulnerabilidad sin intervención humana”. Mike Walker, gerente de investigación de Microsoft, explicó que las primeras experiencias con el proyecto IRE mostraron”[lo que aprendimos de esas instancias es] que podemos aprovechar las fortalezas complementarias de los humanos y la IA para la protección”. El sendero de evidencia detallado del sistema está diseñado específicamente para facilitar esta colaboración de la máquina humana.
Microsoft planea integrar el prototipo en sus productos de seguridad como”analizador binario”. La visión final de la compañía es detectar un nuevo malware directamente en la memoria, ampliando sus capacidades autónomas para proteger miles de millones de dispositivos de manera más efectiva.
.