Специалисты консалтинговой фирмы по кибербезопасности TrustedSec реализовали подход, при котором ИИ используется для выявления неизвестных ранее уязвимостей в подписанных Microsoft бинарных файлах. Как заверили эксперты, это может изменить способ, с помощью которого ИБ-специалисты изучают код, находят угрозы.
В рамках проведения исследования Claude был обучен работать с протоколом Model Context Protocol и анализировать .NET -сборки в полностью автоматическом режиме. Чтобы отказаться от ручного анализа, разработчики подняли кастомный MCP-сервер с использованием ilspycmd — инструмента для декомпиляции .NET — внутри Docker-контейнера.
Эксперимент с чат-ботом завершился не просто обнаружением потенциально уязвимых мест в ПО, но и построении полных цепочек эксплуатации, включая генерацию рабочего кода, подтверждающего угрозу.
Источник изображения: Hightech
В числе кейсов стала библиотека Windows, где Claude нашел уязвимость нулевого дня, связанную с небезопасным использованием BinaryFormatter в файле «AddInStore.cs». Несмотря на то, что уязвимость описывалась ранее, в эксперименте она была использована как тест на глубину анализа. Чат-бот подтвердил ее наличие и нашел возможности использования, которые могли бы привести к выполнению произвольного кода. Claude отследил поток выполнения пошагово от пользовательского ввода до вызова уязвимого Deserialize.
Исследователи сделали вывод, что ИИ, прошедший обучение, полностью понимает формат бинарных файлов. Они предположили, что в будущее ИИ-багхантеры могут заменить ИБ-специалистов.