Chúng tôi giấu cửa hậu trong tệp nhị phân ~40MB và yêu cầu AI + Ghidra tìm chúng
Giới Thiệu
Các AI hiện đại có thể phát hiện một số cửa hậu (backdoor) trong tệp nhị phân, nhưng khả năng này chưa sẵn sàng cho sản xuất do tỷ lệ sai sót cao. Ngay cả mô hình tốt nhất chỉ đạt được 49% hiệu suất trong các tệp kích thước nhỏ và vừa.
Bối Cảnh
Các cuộc tấn công chuỗi cung ứng và phần mềm độc hại đang gia tăng, từ việc tấn công các hệ thống ngân hàng đến các cơ sở hạ tầng quan trọng. Điều này tạo ra nhu cầu khẩn cấp về công nghệ phát hiện phần mềm độc hại hiệu quả hơn.
Phân Tích Nhị Phân
Phân tích nhị phân là một quá trình phức tạp do nhiều rào cản kỹ thuật. Ngay cả trong tệp mã nguồn cao cấp, quá trình biên dịch và tối ưu hóa có thể che giấu các cửa hậu qua các lớp mã máy được tối ưu hóa.
Thí Nghiệm và Kết Quả
- Claude Opus 4.5 có thể phát hiện cửa hậu trong máy chủ HTTP lighttpd và xác định đúng chức năng sử dụng
popen()để thực thi lệnh. - Claude Opus 4.6 đã bỏ lỡ một cửa hậu dễ nhận thấy trong dnsmasq do không kiểm tra kỹ nguồn dữ liệu.
Hạn Chế
Các mô hình AI thường tạo ra nhiều báo động giả, làm giảm giá trị thực tiễn của chúng. Ngoài ra, các công cụ nguồn mở gặp khó khăn với các tệp nhị phân lớn hoặc phức tạp, nhất là các tệp được viết bằng ngôn ngữ như Go.
Kết Luận
Dù AI có thể là trợ thủ đắc lực trong kiểm toán bảo mật sơ bộ, nhưng cần cải thiện nhiều để có thể sử dụng rộng rãi trong thực tế. Tích hợp thêm ngữ cảnh và cải tiến công cụ có thể giúp nâng cao độ chính xác trong tương lai.
Bạn có thể kiểm tra kết quả đầy đủ và xem các tác vụ trên QuesmaOrg/BinaryAudit.