AI惡意軟體分析需要證據包

Zane St. John買了一台便宜的Android投影機，發現可疑的DNS流量，並使用Claude Code作為逆向工程助手，檢查裝置預先安裝的應用程式。¹

值得關注的不是AI代理協助了惡意軟體分析。這種說法很快就會變得稀鬆平常。真正有意思的是產出物的形態：觀察到的網路行為、套件名稱、反編譯後的程式碼路徑、指令輸出、筆記，以及可供人工檢視的指標。只有當代理的輸出不像答案，而更像一份案件檔案時，惡意軟體分析才值得信任。

AI惡意軟體分析需要證據包。代理可以加速解包、反編譯、搜尋、摘要與假設生成。但在信任結論之前，分析師仍然需要雜湊、工具版本、指令、擷取出的指標、來源路徑、不確定性標籤，以及主張與證據的對照軌跡。

重點摘要

Microsoft Research將Project Ire描述為一個自主惡意軟體分類代理，能對軟體進行逆向工程，並在驗證器判斷是否已有足夠依據支撐惡意軟體判定之前，先產生一條證據鏈。² Zane的Android投影機調查，則在較小規模上呈現了相同模式：代理可以協助個別分析師處理APK、記錄、字串與可疑程式碼路徑。¹

安全的產品啟示很明確：把AI惡意軟體分析師當作工作台，而不是權威。工作台可以擷取、整理並串連證據；但它不應接觸線上基礎設施、撰寫利用程式用戶端、在一般工作站上執行未知酬載，也不應取代人類對影響範圍的判斷。真正有用的產出，是審查者可以重現的證據包。

關鍵收穫

給安全團隊： - 要求代理提供證據包，而不是判定。 - 將樣本身分、指令記錄、工具版本、擷取出的指標與主張依據放在一起。 - 任何動態執行、網路連線或涉及憑證的分析，都必須先取得人工核准。

給代理建構者： - 惡意軟體分析工作流程預設採用唯讀靜態分析。 - 將擷取、假設、驗證與報告拆成不同步驟。 - 保留原始產物與來源位置，讓人類能稽核整條證據鏈。

給產品團隊： - 不要把「自主惡意軟體分析」包裝成魔法。 - 清楚呈現代理檢查了什麼、推論了什麼、尚未驗證什麼，以及哪些仍需人類決定。 - 先打造審查包，再打造戲劇化儀表板。

Android投影機案例證明了什麼

St. John的調查始於可觀察的行為：投影機在正常使用前就送出DNS請求。¹這一點很重要，因為可疑來源來自裝置本身，而不是模型。代理是在分析師已經有值得追查的問題之後才進場。

接著，工作流程進入一般逆向工程會碰到的介面：

文章提到常見的Android逆向工程工具，例如adb與jadx。¹這些工具不會讓結論自動成真；它們讓產物變得可檢視。jadx自述為命令列與GUI反編譯器，可將Android Dex與APK檔案轉成Java原始碼，並能解碼Android資源。³Apktool自述為Android APK檔案逆向工程工具，涵蓋資訊清單、資源、smali與重建工作流程。⁴

代理的優勢位於中間地帶。它可以搜尋陌生套件、摘要程式碼、提出可能值得檢查的區域，並維護待辦清單。分析師仍須逐一對照原始產物驗證每項主張。

AI把逆向工程變成案件管理

傳統惡意軟體分析本來就會產出案件檔案。內容可能包含雜湊、樣本來源、字串、網域、IP位址、互斥鎖（mutex）、登錄機碼、檔案路徑、截圖、反組譯筆記、沙箱輸出，以及最終判定。

代理改變的是這項工作的速度與規模。它們能閱讀更多檔案、寫下更多筆記，並產生比單一分析師手動輸入更多的假設。若缺少更強的產出契約，這種速度會造成信任問題。自信的摘要可能掩蓋錯誤推論、漏看的分支，或幻覺生成的API名稱。

Microsoft的Project Ire指向更好的形態。Microsoft表示，該系統會自主分析與分類軟體，並為其發現建立證據鏈。²此設計包含逆向工程工具，以及檢查證據是否支撐判定的驗證器。²驗證器這個概念比品牌名稱更重要。惡意軟體分析需要一個獨立的證據裁判，而不只是能流暢敘述結論的旁白。

較小型的工作流程也應採用同樣切分：

代理可以做很多事。關口決定什麼值得相信。

Android有實用的靜態介面

Android惡意軟體分析有一項務實優勢：在任何人執行應用程式之前，APK就已暴露多種靜態介面。

Android安全文件列出風險類別，例如明文通訊、動態程式碼載入、不安全的廣播接收器、硬編碼祕密，以及與權限相關的錯誤。⁵MITRE ATT&CK for Mobile包含廣播接收器與在執行環境中下載新程式碼等技術，提供分析師一套詞彙，用於將觀察到的行為對應到攻擊者手法。⁶

因此，以靜態分析為先的證據包很有價值：

這張表避開了一個重要錯誤：它沒有要求模型先判定「是不是惡意軟體」。它要求系統保留證據，讓之後的判定可以被審查。

證據包

有用的AI惡意軟體分析包應該有可預期的形態：

主張對照表是證據包的核心：

最後一列是在保護分析師。惡意軟體判定會帶來後果。誤報可能傷害供應商，或干擾事件應變。漏報則可能讓使用者暴露在風險中。模型不應繞過證據走捷徑。

代理應該拒絕什麼

即使目標是防禦，惡意軟體工作也需要拒絕邊界。

在以下情況發生前，代理應拒絕或要求明確人工授權：

• 接觸線上命令與控制基礎設施；
• 為疑似後門或更新程式撰寫用戶端；
• 從攻擊者控制的基礎設施下載第二階段酬載；
• 在隔離實驗室以外執行未知樣本；
• 在分析期間使用真實使用者憑證、個人帳號或正式環境網路；
• 在負責任揭露前，發布可能識別受害者的線上指標；
• 將防禦調查轉成利用教學。

OpenAI的本機shell文件警告，允許代理執行任意shell指令可能很危險，並建議在將指令轉送到shell前，先使用沙箱或嚴格的允許與拒絕清單。⁷Anthropic的Claude Code最佳實務指南則強調代理工作的驗證標準與脈絡管理。⁸惡意軟體分析兩者都需要：行動前要有指令限制，相信前要有證據限制。

拒絕邊界應該直接出現在任務中：

Analyze this APK statically.
Do not execute it.
Do not contact remote infrastructure.
Do not write exploit or client code.
Return only evidence with file paths, commands, and confidence labels.
Mark every unsupported claim as unverified.

這類指令本身不會讓工作流程安全。它提供了具體內容，讓掛鉤、沙箱與審查者能夠執行與核對。

人類仍然擁有判定權

AI代理可以在惡意軟體分析工作階段中省下數小時。它能把一堆APK整理成可疑套件的短清單；能摘要類別、解包intent filter、識別設定字串，並產生報告草稿。這些收益很重要。

但代理不應擁有最終判定權。

分析師負責：

• 授權分析樣本；
• 決定是否動態執行任何內容；
• 解讀意圖與影響；
• 與受影響的供應商、使用者或平台溝通；
• 做出修復與揭露決策；
• 決定報告中的最終措辭。

這種分工讓代理保持有用。模型處理耗力的串連工作；人類保留倫理、法律與脈絡責任。

如何建立工作流程

從小型靜態分析循環開始：

1. 對樣本產生雜湊，並記錄其來源。
2. 將資訊清單、資源、字串與反編譯程式碼擷取到唯讀工作資料夾。
3. 要求代理建立附來源位置的發現清單。
4. 要求第二輪檢查挑戰每項發現，並標記缺乏支撐的主張。
5. 建立證據包。
6. 決定此證據包是否足以支持進一步的動態實驗室分析。

代理提示應要求結構化輸出：

For every finding, include:
- claim
- artifact path
- command that produced the artifact
- source excerpt or symbol
- confidence
- what would falsify the claim
- whether dynamic analysis is required

這種輸出不如「這台投影機有惡意軟體」聽起來刺激，卻有用得多。

證據關口可以直接套用。沒有證據的主張，不應進入最終答案。審查包才是新的最終答案也同樣適用：交付物不是文字摘要，而是能讓另一個人驗證工作的資料包。

FAQ

AI代理可以做惡意軟體分析嗎？

可以，但有界限。代理可以協助靜態分析、摘要、反編譯導覽、指標擷取與報告草稿。不過，若沒有可重現證據與人工審查，它們不應成為惡意軟體判定的最終權威。

在惡意軟體上使用Claude Code或Codex安全嗎？

只有在受控的防禦工作流程中才安全。不要在一般工作站上執行未知樣本，不要接觸線上基礎設施，也不要提供代理憑證或不受限制的shell／網路存取權。較安全的起點，是在隔離工作資料夾中進行靜態分析。

惡意軟體分析證據包應包含什麼？

至少應包含：雜湊、樣本來源、工具版本、指令、資訊清單事實、擷取出的指標、程式碼位置、主張與證據的對照表、可信度標籤，以及未驗證工作清單。

AI判定算是證據嗎？

不算。模型陳述是一種解讀。證據來自產物：雜湊、記錄、指令、程式碼路徑、資訊清單、觀察到的網路行為，以及可重現的分析步驟。

代理應該把發現對應到MITRE ATT&CK嗎？

應該，但前提是證據支撐這個對應。沒有產物支撐的技術標籤，只是裝飾。請把ATT&CK Mobile當作詞彙表，而不是證明的替代品。⁶

結語

AI不會把分析師從惡意軟體分析中移除。它改變的是分析師應該要求什麼。

薄弱的產出，是自信的判定。強健的產出，是可重現的證據包：樣本身分、指令、產物、指標、主張依據、不確定性與下一步行動。

代理可以讓逆向工程更快。證據包讓它值得信任。

參考資料