Dans le contexte: Lancé en 2004 par la société de sécurité espagnole Hispasec Sistemas, VirusTotal est un système d’analyse en ligne renommé regroupant de nombreux moteurs antivirus tiers (nous l’utilisons chez TechSpot pour analyser tous les fichiers répertoriés dans notre section de téléchargement). Google a acquis le service en 2012, et maintenant l’entreprise fait ce que tout le monde fait de nos jours : ajouter des fonctionnalités alimentées par l’IA à ses capacités de numérisation.
VirusTotal Code Insight est une nouvelle fonctionnalité du service d’analyse des logiciels malveillants, une fonctionnalité basée sur l’IA qui peut générer des résumés en langage naturel des extraits de code « avec facilité ». Le fondateur de VirusTotal, Bernardo Quintero, a décrit cette fonctionnalité comme un moyen de donner aux experts en sécurité des « informations plus approfondies » sur le code analysé (et potentiellement malveillant), afin que de simples humains puissent améliorer leur capacité à détecter et à atténuer les menaces potentielles.
L’IA et les algorithmes d’apprentissage automatique jouent un rôle crucial dans l’analyse des logiciels malveillants et la cybersécurité depuis un certain temps, Quintero remarqué, et les avancées récentes dans les grands modèles de langage ont poussé encore plus loin le rôle de l’IA dans l’activité anti-malware. La capacité de Code Insight à analyser le code de haut niveau provient de Sec-PaLM, un LLM spécialisé affiné pour les cas d’utilisation de la sécurité et les applications de renseignement de sécurité.
Sec-PaLM fait partie de Google Cloud Security AI Workbench, une nouvelle plateforme extensible introduit à l’édition 2023 de la conférence RSA. L’AI Workbench fournit aux entreprises clientes et aux professionnels de la sécurité tout ce dont ils ont besoin pour relever ce que Google appelle les « trois principaux défis de sécurité » du marché actuel : la surcharge des menaces, les outils pénibles et le manque de talents dans l’analyse des logiciels malveillants.
Pour l’instant, Code Insight de VirusTotal ne peut analyser qu' »un sous-ensemble de fichiers PowerShell » soumis au service. Les fichiers trop volumineux ou très similaires à ceux déjà analysés sont exclus, a expliqué Quintero, afin que les ressources d’analyse soient utilisées efficacement pour analyser « uniquement les fichiers les plus pertinents » (tels que les fichiers PS1 PowerShell). Un support de format supplémentaire sera ajouté dans les prochains jours.
Une autre limitation de Code Insight est que le scanner alimenté par l’IA n’a pas accès aux résultats antivirus ou à d’autres métadonnées VirusTotal, s’appuyant uniquement sur le contenu du fichier en cours de traitement. Pour cette raison, et parce que les algorithmes LLM sont aussi « intelligents » que n’importe quel autre programme informatique, les performances de Code Insight peuvent varier « au cas par cas » et peuvent inclure des erreurs de jugement avec des faux positifs ou des faux négatifs.
Par conséquent, comme pour toute autre application LLM, Code Insight doit être supervisé par un analyste de la sécurité humaine. La réponse d’analyse de script doit être interprétée et combinée avec d’autres informations contextuelles pour avoir une utilisation pratique, suggère Quintero, tandis que les attaquants et les cybercriminels développeront probablement de « nouvelles stratégies d’évasion » pour tromper les nouvelles capacités d’analyse de l’IA de VirusTotal.