Positive Technologies обучила нейросеть MOLOT ловить скрытые киберугрозы

1 час назад

© Сгенерировано ИИ

Компания Positive Technologies представила нейросеть MOLOT, созданную для поиска вредоносного кода в программных продуктах на Python, JavaScript и TypeScript. Архитектура новой модели базируется на принципах «трансформера» — той же технологии, что используется в больших языковых моделях (LLM). Как сообщается на официальном сайте Positive Technologies, инструмент уже интегрирован в систему статического анализа кода PT Application Inspector (начиная с версии 6.0).

Почему стандартные сканеры пропускают угрозы

Большинство классических SAST-инструментов (средств статического анализа) ищут уязвимости — случайные ошибки или огрехи конфигурации, которые хакеры могут использовать для атаки снаружи. Однако они пасуют перед намеренно внедренным вредоносным кодом (класс угроз CWE-506). Яркий пример — недавний громкий инцидент с библиотекой LiteLLM.

Закладки работают с теми же правами, что и легитимное приложение. По отдельности их действия выглядят абсолютно безобидно: программа просто читает файл, расшифровывает строку или отправляет запрос в сеть. Обычные сигнатурные правила видят эти изолированные операции и пропускают их.

Как работает MOLOT

В отличие от классических систем, MOLOT анализирует программу как единую цепочку событий. Нейросеть извлекает из кодовой базы последовательность всех ключевых действий — от обращений к сети и файловой системе до запуска внутренних процессов — и оценивает, складываются ли они в опасный сценарий.

Например, если приложение считывает логин и пароль, кодирует их и тут же отправляет на сторонний сервер, нейросеть распознает эту последовательность как вредоносную. Подобный подход позволил повысить точность обнаружения угроз на 15% по сравнению со стандартными правилами. Благодаря этому PT Application Inspector стал вторым в мире SAST-продуктом, способным выявлять закладки по поведенческому сценарию программ.

«Тестирование на реальных вредоносных пакетах из репозиториев PyPI и npm показало, что MOLOT находит вредоносный код точнее open-source аналогов, разница доходит до 30 процентных пунктов на части тестов. Чтобы наши результаты можно было независимо перепроверить, мы публикуем сбалансированный набор данных и сценарии запуска как открытый бенчмарк», — подчеркивает руководитель ML-команды Application Security в Positive Technologies Максим Митрофанов.

Практическая польза для аналитиков

Типичный сценарий применения: компания принимает большой проект от подрядчика или фрилансера, сигнатурный сканер не находит в нем явных уязвимостей, но MOLOT видит полную цепочку передачи конфиденциальных данных на внешний сервер и маркирует ее как подозрительную. При этом нейросеть не просто выносит вердикт, а подсвечивает конкретные строки кода, которые повлияли на ее решение. Это позволяет ИБ-специалисту буквально за пару кликов проверить сомнительный фрагмент.

Читайте также: Минцифры снижает страховые взносы для IT-компаний с госучастием