Analiza złośliwego oprogramowania z użyciem AI wymaga pakietów dowodowych
Zane St. John kupił tani projektor z Androidem, zauważył podejrzany ruch DNS i wykorzystał Claude Code jako asystenta do inżynierii wstecznej, aby sprawdzić aplikacje preinstalowane na urządzeniu.1
Najciekawsze nie jest to, że agent AI pomógł w analizie złośliwego oprogramowania. To twierdzenie szybko przestanie robić wrażenie. Ważniejszy jest kształt artefaktu: zaobserwowane zachowanie sieciowe, nazwy pakietów, zdekompilowane ścieżki kodu, wyniki poleceń, notatki i wskaźniki, które człowiek może samodzielnie sprawdzić. Analiza złośliwego oprogramowania z użyciem agentów staje się godna zaufania dopiero wtedy, gdy wynik mniej przypomina odpowiedź, a bardziej akta sprawy.
Analiza złośliwego oprogramowania z użyciem AI wymaga pakietów dowodowych. Agenci mogą przyspieszyć rozpakowywanie, dekompilację, wyszukiwanie, streszczanie i generowanie hipotez. Zanim jednak analityk zaufa wnioskowi, nadal potrzebne są hashe, wersje narzędzi, polecenia, wyodrębnione wskaźniki, ścieżki źródłowe, oznaczenia niepewności oraz ścieżki od twierdzenia do dowodu.
W skrócie
Microsoft Research opisuje Project Ire jako autonomicznego agenta do klasyfikacji złośliwego oprogramowania, który wykonuje inżynierię wsteczną oprogramowania i tworzy łańcuch dowodowy, zanim walidator zdecyduje, czy istnieje wystarczające uzasadnienie dla werdyktu o złośliwości.2 Dochodzenie Zane’a dotyczące projektora z Androidem pokazuje ten sam wzorzec w mniejszej skali: agent może pomóc pojedynczemu analitykowi przejść przez pliki APK, logi, ciągi znaków i podejrzane ścieżki kodu.1
Wniosek produktowy jest wąski. Analityka złośliwego oprogramowania oparta na AI należy traktować jak stanowisko pracy, a nie jak autorytet. Takie stanowisko może wydobywać, porządkować i łączyć dowody. Nie powinno kontaktować się z aktywną infrastrukturą, pisać klientów do wykorzystania podatności, uruchamiać nieznanych ładunków na zwykłej stacji roboczej ani zastępować ludzkiego osądu dotyczącego skutków. Użytecznym wynikiem jest pakiet dowodowy, który recenzent może odtworzyć.
Najważniejsze wnioski
Dla zespołów bezpieczeństwa: - Należy prosić agentów o pakiety dowodowe, a nie o werdykty. - Tożsamość próbki, logi poleceń, wersje narzędzi, wyodrębnione wskaźniki i uzasadnienia twierdzeń należy trzymać razem. - Przed jakimkolwiek wykonaniem dynamicznym, kontaktem sieciowym lub analizą z użyciem danych uwierzytelniających wymagana powinna być akceptacja człowieka.
Dla twórców agentów: - Domyślnym trybem przepływów pracy do analizy złośliwego oprogramowania powinna być statyczna analiza tylko do odczytu. - Wyodrębnianie, hipotezy, weryfikację i raportowanie należy rozdzielić na osobne kroki. - Surowe artefakty i lokalizacje źródłowe trzeba zachowywać tak, aby człowiek mógł skontrolować cały łańcuch.
Dla zespołów produktowych: - Nie należy sprzedawać „autonomicznej analizy złośliwego oprogramowania” jako magii. - Trzeba pokazać, co agent sprawdził, co wywnioskował, czego nie zweryfikował i co nadal musi rozstrzygnąć człowiek. - Pakiety przeglądowe warto zbudować wcześniej niż efektowne pulpity.
Co pokazuje przypadek projektora z Androidem
Dochodzenie St. Johna zaczęło się od zaobserwowanego zachowania: żądań DNS wysyłanych przez projektor jeszcze przed normalnym użyciem.1 To ważne, ponieważ źródłem podejrzenia było urządzenie, a nie model. Agent pojawił się dopiero wtedy, gdy analityk miał już pytanie warte zbadania.
Dalszy przepływ pracy przeszedł przez typowe powierzchnie inżynierii wstecznej:
| Powierzchnia | Dlaczego ma znaczenie |
|---|---|
| Obserwacje DNS | Pokazały, że urządzenie komunikuje się, zanim użytkownik o to poprosi. |
| Nazwy pakietów Androida | Pomogły zawęzić listę preinstalowanych aplikacji wymagających sprawdzenia. |
| Dekompilacja APK | Zamieniła dołączony kod w wynik przypominający źródła i możliwy do przeszukiwania. |
| Ciągi znaków i endpointy | Ujawniły konfigurację, cele sieciowe i zachowanie aktualizacji. |
| Notatki i streszczenia | Zapobiegły temu, by dochodzenie zamieniło się w stertę surowych plików. |
Artykuł wymienia popularne narzędzia do inżynierii wstecznej Androida, takie jak adb i jadx.1 Same narzędzia nie sprawiają, że wniosek staje się prawdziwy. Sprawiają, że artefakt da się sprawdzić. jadx opisuje się jako dekompilator z interfejsem wiersza poleceń i GUI, który konwertuje pliki Android Dex i APK na kod źródłowy Java oraz potrafi dekodować zasoby Androida.3 Apktool opisuje się jako narzędzie do inżynierii wstecznej plików Android APK, obejmujące manifest, zasoby, smali i przepływy odbudowy.4
Przewaga agenta pojawia się pośrodku procesu. Może przeszukiwać nieznane pakiety, streszczać kod, proponować prawdopodobne obszary do inspekcji i prowadzić listę zadań. Analityk nadal musi zweryfikować każde twierdzenie względem pierwotnego artefaktu.
AI zmienia inżynierię wsteczną w zarządzanie sprawą
Tradycyjna analiza złośliwego oprogramowania już teraz tworzy akta sprawy. Mogą się w nich znaleźć hashe, pochodzenie próbki, ciągi znaków, domeny, adresy IP, mutexy, klucze rejestru, ścieżki plików, zrzuty ekranu, notatki z dezasemblacji, wynik z sandboxa i końcowy werdykt.
Agenci zmieniają tempo i skalę tej pracy. Mogą czytać więcej plików, pisać więcej notatek i tworzyć więcej hipotez, niż pojedynczy analityk wpisałby ręcznie. Bez mocniejszego kontraktu na wynik ta prędkość tworzy problem zaufania. Pewne siebie streszczenie może ukryć błędne wnioskowanie, pominiętą gałąź albo zmyśloną nazwę API.
Project Ire Microsoftu wskazuje lepszy kierunek. Microsoft twierdzi, że system autonomicznie analizuje i klasyfikuje oprogramowanie oraz buduje łańcuch dowodowy dla swoich ustaleń.2 Projekt obejmuje narzędzia do inżynierii wstecznej oraz walidator, który sprawdza, czy dowody wspierają werdykt.2 Sama idea walidatora jest ważniejsza niż nazwa marki. Analiza złośliwego oprogramowania potrzebuje osobnego sędziego dla dowodów, a nie tylko płynnego narratora wniosku.
Taki sam podział warto stosować w mniejszych przepływach pracy:
| Krok | Rola agenta | Bramka człowieka lub polityki |
|---|---|---|
| Pozyskanie | Zapisuje źródło próbki i hash. | Potwierdza autoryzację i izolację. |
| Wyodrębnienie | Rozpakowuje artefakty statyczne. | Zatwierdza łańcuch narzędzi i obsługę próbki. |
| Inspekcja | Przeszukuje kod, manifesty, ciągi znaków i zasoby. | Sprawdza lokalizacje źródłowe. |
| Hipoteza | Proponuje podejrzane zachowanie i ryzyko. | Wymaga dowodów wspierających. |
| Weryfikacja | Mapuje każde twierdzenie na artefakt. | Odrzuca niepoparte twierdzenia. |
| Raport | Pisze wskaźniki i notatki o skutkach. | Decyduje o działaniu i ujawnieniu. |
Agent może zrobić dużo. Bramka decyduje, czemu warto uwierzyć.
Android ma użyteczne powierzchnie statyczne
Analiza złośliwego oprogramowania na Androidzie ma praktyczną przewagę: APK udostępniają kilka powierzchni statycznych, zanim ktokolwiek uruchomi aplikację.
Dokumentacja bezpieczeństwa Androida wymienia kategorie ryzyka takie jak komunikacja jawnym tekstem, dynamiczne ładowanie kodu, niebezpieczne broadcast receivery, zahardkodowane sekrety i błędy związane z uprawnieniami.5 MITRE ATT&CK for Mobile obejmuje techniki takie jak Broadcast Receivers oraz pobieranie nowego kodu w czasie działania, co daje analitykom słownik do mapowania zaobserwowanego zachowania na techniki atakujących.6
Dlatego pakiet dowodowy zaczynający od analizy statycznej jest wartościowy:
| Artefakt Androida | Dowody do zapisania |
|---|---|
| Hash APK | SHA-256, źródło, data pobrania i nazwa pliku. |
| Manifest | Nazwa pakietu, uprawnienia, usługi, receivery, providery, eksportowane komponenty i cele SDK. |
| Zdekompilowany kod | Ścieżka pliku, klasa, metoda oraz linia lub symbol związany z twierdzeniem. |
| Zasoby | URL-e, domeny, ścieżki API, wartości konfiguracyjne, certyfikaty i zasoby. |
| Biblioteki natywne | Nazwy bibliotek, architektura, eksportowane symbole i notatki z rozpakowywania. |
| Obserwacje sieciowe | Zaobserwowane domeny lub IP, znacznik czasu, narzędzie oraz informacja, czy kontakt był pasywny, czy aktywny. |
| Mapowanie zachowania | Technika ATT&CK Mobile tylko wtedy, gdy potwierdzają ją dowody. |
| Niepewność | Czego agent nie sprawdził albo czego nie był w stanie dowieść. |
Tabela unika ważnego błędu: nie prosi modelu, aby najpierw zdecydował „złośliwe czy nie”. Prosi system o zachowanie dowodów, dzięki którym werdykt będzie później możliwy do sprawdzenia.
Pakiet dowodowy
Użyteczny pakiet analizy złośliwego oprogramowania z użyciem AI powinien mieć przewidywalny kształt:
| Sekcja | Wymagana zawartość |
|---|---|
| Zakres | Kto autoryzował analizę, jaka próbka lub urządzenie zostały sprawdzone i jakie działania były zabronione. |
| Tożsamość próbki | Hashe, nazwy plików, rozmiary, znaczniki czasu, ścieżka źródłowa i notatki o łańcuchu nadzoru. |
| Łańcuch narzędzi | Nazwy narzędzi, wersje, wiersze poleceń i granice środowiska. |
| Ustalenia statyczne | Fakty z manifestu, nazwy pakietów, podejrzane ciągi znaków, endpointy, zasoby i lokalizacje kodu. |
| Ustalenia dynamiczne | Tylko jeśli autoryzowane: środowisko, izolacja sieciowa, logi, zrzuty ekranu i zaobserwowane zachowanie. |
| Wskaźniki | Domeny, adresy IP, nazwy pakietów, ścieżki plików, dane certyfikatów i inne obserwowalne artefakty. |
| Mapa twierdzeń | Każdy wniosek zestawiony z dokładnym artefaktem, który go wspiera. |
| Praca niezweryfikowana | Próbki nierozpakowane, ścieżki kodu bez dalszej analizy, nieodtworzone zachowanie sieciowe i założenia. |
| Zalecane działanie | Blokować, monitorować, usunąć, eskalować, ujawnić albo kontynuować analizę, wraz z poziomem pewności. |
Sercem pakietu jest mapa twierdzeń:
| Twierdzenie | Dowód | Pewność |
|---|---|---|
| Aplikacja używa dynamicznego ładowania kodu | Zdekompilowana ścieżka kodu oraz cytat z kategorii ryzyka Androida. | Średnia, dopóki zachowanie dynamiczne nie zostanie odtworzone. |
| Aplikacja kontaktuje się z podejrzaną domeną | Pasywna obserwacja DNS oraz odniesienie w ciągu znaków lub konfiguracji. | Wysoka, jeśli oba źródła się zgadzają. |
| Aplikacja utrzymuje trwałość przez receiver | Receiver w manifeście oraz ścieżka kodu obsługująca rozruch lub broadcast systemowy. | Średnia, chyba że zaobserwowano to w laboratorium. |
| Aplikacja jest złośliwa | Wiele potwierdzonych zachowań, kontekst i przegląd człowieka. | Nigdy wyłącznie na podstawie streszczenia modelu. |
Ostatni wiersz chroni analityka. Werdykty dotyczące złośliwego oprogramowania mają konsekwencje. Fałszywy alarm może zaszkodzić dostawcy albo utrudnić reakcję na incydent. Fałszywie negatywny wynik może zostawić użytkownika narażonego. Model nie powinien dostawać skrótu omijającego dowody.
Czego agent powinien odmówić
Praca ze złośliwym oprogramowaniem wymaga granic odmowy nawet wtedy, gdy cel jest defensywny.
Agent powinien odmówić albo wymagać jednoznacznej autoryzacji człowieka przed:
- kontaktem z aktywną infrastrukturą command-and-control;
- napisaniem klienta dla podejrzanego backdoora lub mechanizmu aktualizacji;
- pobieraniem ładunków drugiego etapu z infrastruktury kontrolowanej przez atakującego;
- uruchomieniem nieznanej próbki poza izolowanym laboratorium;
- użyciem prawdziwych danych uwierzytelniających użytkownika, kont osobistych lub sieci produkcyjnych podczas analizy;
- publikacją aktywnych wskaźników, które mogą zidentyfikować ofiarę przed odpowiedzialnym ujawnieniem;
- przekształceniem defensywnego dochodzenia w instrukcje wykorzystania podatności.
Dokumentacja OpenAI dotycząca lokalnej powłoki ostrzega, że pozwalanie agentom na uruchamianie dowolnych poleceń powłoki może być niebezpieczne, i zaleca sandboxing albo ścisłe listy dozwolonych i zabronionych działań przed przekazaniem poleceń do powłoki.7 Przewodnik Anthropic z najlepszymi praktykami dla Claude Code podkreśla kryteria weryfikacji i zarządzanie kontekstem w pracy agentów.8 Analiza złośliwego oprogramowania potrzebuje obu elementów: limitów poleceń przed działaniem i limitów dowodowych przed wiarą w wniosek.
Granica odmowy powinna pojawić się już w samym zadaniu:
Przeanalizuj ten APK statycznie.
Nie uruchamiaj go.
Nie kontaktuj się ze zdalną infrastrukturą.
Nie pisz kodu exploita ani klienta.
Zwróć wyłącznie dowody ze ścieżkami plików, poleceniami i oznaczeniami pewności.
Oznacz każde niepoparte twierdzenie jako niezweryfikowane.
Taka instrukcja sama w sobie nie czyni przepływu pracy bezpiecznym. Daje jednak punkt zaczepienia, który mechanizmy egzekwujące, sandboxy i recenzenci mogą konkretnie sprawdzać.
Werdykt nadal należy do człowieka
Agent AI może oszczędzić wiele godzin w sesji analizy złośliwego oprogramowania. Może przejść od sterty plików APK do krótkiej listy podejrzanych pakietów. Może streszczać klasy, rozpakowywać filtry intentów, identyfikować ciągi konfiguracyjne i przygotować szkic raportu. Te zyski mają znaczenie.
Werdykt nie powinien należeć do agenta.
Do analityka należą:
- autoryzacja analizy próbki;
- decyzja o uruchomieniu czegokolwiek dynamicznie;
- interpretacja intencji i skutków;
- komunikacja z dotkniętymi dostawcami, użytkownikami lub platformami;
- decyzje dotyczące naprawy i ujawnienia;
- ostateczne brzmienie raportu.
Taki podział utrzymuje użyteczność agenta. Model wykonuje męczącą pracę łączenia faktów. Człowiek zachowuje odpowiedzialność etyczną, prawną i kontekstową.
Jak zbudować przepływ pracy
Warto zacząć od małej pętli analizy statycznej:
- Wyliczyć hash próbki i zapisać jej pochodzenie.
- Wyodrębnić manifest, zasoby, ciągi znaków i zdekompilowany kod do katalogu roboczego tylko do odczytu.
- Poprosić agenta o utworzenie listy ustaleń z lokalizacjami źródłowymi.
- W drugim przebiegu poprosić o zakwestionowanie każdego ustalenia i oznaczenie twierdzeń bez poparcia.
- Zbudować pakiet dowodowy.
- Zdecydować, czy pakiet uzasadnia analizę dynamiczną w laboratorium.
Polecenie dla agenta powinno wymagać uporządkowanego wyniku:
Dla każdego ustalenia podaj:
- twierdzenie
- ścieżkę artefaktu
- polecenie, które wytworzyło artefakt
- fragment źródłowy lub symbol
- poziom pewności
- co obaliłoby twierdzenie
- czy wymagana jest analiza dynamiczna
Taki wynik brzmi mniej efektownie niż „projektor ma złośliwe oprogramowanie”. Jest za to znacznie bardziej użyteczny.
Próg dowodowy ma tu bezpośrednie zastosowanie. Twierdzenie bez dowodu nie powinno trafiać do końcowej odpowiedzi. Pakiety przeglądowe są nową odpowiedzią końcową także pasują do tego problemu: rezultatem nie jest streszczenie prozą, lecz pakiet, który pozwala innej osobie zweryfikować pracę.
FAQ
Czy agenci AI potrafią analizować złośliwe oprogramowanie?
Tak, w określonych granicach. Agenci mogą pomagać w analizie statycznej, streszczaniu, poruszaniu się po dekompilacji, wyodrębnianiu wskaźników i szkicowaniu raportów. Nie powinni jednak stać się ostatecznym autorytetem dla werdyktów dotyczących złośliwego oprogramowania bez odtwarzalnych dowodów i przeglądu człowieka.
Czy używanie Claude Code albo Codex do analizy złośliwego oprogramowania jest bezpieczne?
Tylko w kontrolowanym defensywnym przepływie pracy. Nie należy uruchamiać nieznanych próbek na zwykłej stacji roboczej, kontaktować się z aktywną infrastrukturą ani dawać agentowi danych uwierzytelniających czy nieograniczonego dostępu do powłoki lub sieci. Bezpieczniejszym punktem startowym jest analiza statyczna w izolowanym katalogu roboczym.
Co powinien zawierać pakiet dowodowy analizy złośliwego oprogramowania?
Co najmniej: hashe, źródło próbki, wersje narzędzi, polecenia, fakty z manifestu, wyodrębnione wskaźniki, lokalizacje kodu, mapę twierdzeń do dowodów, oznaczenia pewności i listę pracy niezweryfikowanej.
Czy werdykt AI liczy się jako dowód?
Nie. Wypowiedź modelu jest interpretacją. Dowody pochodzą z artefaktów: hashy, logów, poleceń, ścieżek kodu, manifestów, zaobserwowanego zachowania sieciowego i odtwarzalnych kroków analizy.
Czy agenci powinni mapować ustalenia na MITRE ATT&CK?
Tak, gdy dowody wspierają takie mapowanie. Etykieta techniki bez wsparcia w artefaktach staje się dekoracją. ATT&CK Mobile należy traktować jako słownik, a nie zamiennik dowodu.6
Zakończenie
AI nie usuwa analityka z analizy złośliwego oprogramowania. Zmienia to, czego analityk powinien wymagać.
Słabym wynikiem jest pewny siebie werdykt. Mocnym wynikiem jest odtwarzalny pakiet: tożsamość próbki, polecenia, artefakty, wskaźniki, poparcie twierdzeń, niepewność i następne działanie.
Agenci mogą przyspieszyć inżynierię wsteczną. Pakiety dowodowe sprawiają, że staje się godna zaufania.
Źródła
-
Zane St. John, “Reverse Engineering Android Malware with Claude Code,” opublikowano 5 lutego 2026. Źródło dla przypadku projektora z Androidem, podejrzanego punktu startowego w DNS, użycia
adbijadx, inspekcji APK wspomaganej przez Claude Code oraz kształtu defensywnego przepływu inżynierii wstecznej. ↩↩↩↩ -
Microsoft Research, “Project Ire: Autonomously Identifying Malware at Scale,” opublikowano w sierpniu 2025. Źródło dla ujęcia Project Ire jako autonomicznej inżynierii wstecznej, projektu łańcucha dowodowego, użycia narzędzi i etapu walidatora. ↩↩↩
-
projekt jadx, “jadx README,” dokumentacja repozytorium GitHub, dostęp 18 maja 2026. Źródło dla przeznaczenia jadx jako dekompilatora Dex-to-Java z użyciem w wierszu poleceń i GUI oraz obsługą APK i zasobów Androida. ↩
-
Apktool, “Apktool,” oficjalna dokumentacja, dostęp 18 maja 2026. Źródło dla deklarowanej roli Apktool jako narzędzia do inżynierii wstecznej plików Android APK oraz jego przepływu dekodowania manifestu, zasobów i smali. ↩
-
Android Developers, “Mitigate Security Risks in Your App,” dostęp 18 maja 2026. Źródło dla kategorii ryzyka Androida, w tym komunikacji jawnym tekstem, dynamicznego ładowania kodu, zahardkodowanych sekretów i niebezpiecznych broadcast receiverów. ↩
-
MITRE ATT&CK, “Mobile Matrix,” dostęp 18 maja 2026. Źródło dla słownika technik ATT&CK Mobile, w tym Broadcast Receivers i Download New Code at Runtime. ↩↩
-
OpenAI, “Local shell,” dokumentacja API OpenAI, dostęp 18 maja 2026. Źródło dla opisu ryzyka lokalnej powłoki oraz zaleceń dotyczących sandboxa lub list dozwolonych i zabronionych działań przed uruchamianiem poleceń powłoki przez agentów. ↩
-
Anthropic, “Best Practices for Claude Code,” dokumentacja Claude Code, dostęp 18 maja 2026. Źródło dla zaleceń dotyczących okna kontekstu, kryteriów weryfikacji i przepływu pracy z narzędziem CLI, wykorzystanych w ujęciu analizy z użyciem agentów. ↩