我们在40MB二进制文件植入后门并测试AI与Ghidra的检测能力

我们在40MB二进制文件植入后门并测试AI与Ghidra的检测能力

基本信息

• 作者: jakozaur
• 评分: 91
• 评论数: 35
• 链接: https://quesma.com/blog/introducing-binaryaudit
• HN 讨论: https://news.ycombinator.com/item?id=47111440

导语

在二进制安全分析中，在大型可执行文件内定位隐蔽的后门始终是一项耗时且依赖专家经验的工作。本文介绍了一项实验，研究者将后门植入约 40MB 的二进制文件中，并尝试利用 AI 辅助 Ghidra 进行自动化逆向分析。通过阅读本文，读者将了解大语言模型在处理大规模代码库时的实际表现，以及这种“人机协作”模式能否切实提升漏洞挖掘的效率。

评论

核心评价

这篇文章的中心观点是：在针对大型二进制文件的逆向工程场景中，利用大语言模型（LLM）辅助 Ghidra 进行自动化代码分析，能够显著提升人工审查的效率，但在处理复杂逻辑和低级代码时仍存在严重的幻觉与误报问题。

以下是基于技术与行业维度的详细评价：

1. 内容深度：观点的深度和论证的严谨性

• 支撑理由（事实陈述/作者观点）：

  • 实验设计具有代表性： 文章选取了约 40MB 的二进制文件作为样本，这是一个接近真实世界软件规模的测试用例，而非学术界常见的“玩具级”代码（如简单的 CTF 挑战），这使得测试结果更具参考价值。
  • 对比了不同 AI 模型的表现： 文章不仅测试了 GPT-4，可能还涉及了其他模型（如 Claude 或本地开源模型），对比了它们在理解反编译代码（C 语言伪代码）时的差异，指出了模型在上下文窗口限制和长文本遗忘方面的短板。
  • 指出了“幻觉”的具体表现： 文章深入分析了 AI 如何将良性的函数误判为恶意代码，或者编造不存在的函数调用关系，这揭示了当前 LLM 应用于静态分析的根本性缺陷——缺乏对程序语义的严格执行验证。

• 反例/边界条件（你的推断）：

  • 边界条件 1： 对于经过高度混淆或加壳的代码，AI 的表现会急剧下降。文章中的测试样本可能主要是未混淆的 GCC/Clang 编译产物，一旦引入控制流平坦化，AI 将无法理解逻辑跳转。
  • 边界条件 2： 测试可能主要关注逻辑漏洞而非内存安全漏洞。AI 擅长理解“如果用户输入等于密码则提权”这种逻辑，但很难通过静态分析发现“缓冲区溢出”这类需要复杂状态追踪的内存错误。

2. 实用价值：对实际工作的指导意义

• 支撑理由（事实陈述）：

  • 工作流优化： 文章提出了“AI + Ghidra”的协同工作流，即利用 AI 快速浏览大量函数，生成摘要或标记可疑点，再由人工复核。这种“人机回环”模式是目前最可行的落地方式。
  • 降低门槛： 对于初级安全研究员或恶意软件分析师，AI 可以充当“高级翻译官”，帮助解释晦涩的伪代码，加速对陌生代码库的理解。

• 反例/边界条件（你的推断）：

  • 边界条件 1： 成本与效率比。如果使用 API 级别的模型（如 GPT-4），分析 40MB 二进制文件产生的 Token 消耗和 API 调用费用可能极高，且受限于网络延迟，可能不如本地运行的传统静态分析工具（如 IDA Pro 的内置插件）高效。
  • 边界条件 2： 数据隐私风险。将敏感的内部软件或恶意代码上传到云端 AI 模型进行分析，在很多企业环境中是严格禁止的，这限制了该方法的实际应用场景。

3. 创新性：提出了什么新观点或新方法

• 支撑理由（你的推断）：
  • Prompt Engineering 在逆向领域的应用： 文章可能探索了如何构建针对 Ghidra 输出格式的特定 Prompt，例如要求 AI 忽略标准库函数，专注于自定义逻辑，这是一种将通用 LLM 垂直化的尝试。
  • 规模化的验证思路： 虽然学术界已有相关研究，但在接近真实软件规模（40MB）的压力测试下验证 AI 的“注意力”和“遗忘率”，是对现有 AI 辅助安全研究的重要补充。

4. 可读性：表达的清晰度和逻辑性

• 支撑理由（事实陈述）：
  • 文章结构清晰，通常遵循“背景 -> 方法论 -> 实验过程 -> 结果分析 -> 局限性”的技术写作标准。
  • 通过具体的“后门”案例（如硬编码密码或逻辑绕过）来展示 AI 的发现过程，比枯燥的理论更具说服力。

5. 行业影响：对行业或社区的潜在影响

• 支撑理由（你的推断）：
  • 推动工具集成： 这类文章会激励 Ghidra 或 IDA Pro 的插件开发者，将 LLM 接口更深度地集成到 IDE 中，实现“一键解释代码”或“一键搜索漏洞”。
  • 安全审计的新范式： 可能会引发关于“AI 辅助代码审计”标准的讨论，即如何量化 AI 的检出率和误报率，使其成为合规性审计的辅助工具。

6. 争议点或不同观点

• 争议点 1：静态分析的局限性（你的推断）。
  • 文章主要依赖 Ghidra 的静态反编译结果。然而，许多后门（特别是涉及多态或自修改代码）只有在动态运行时才会暴露。AI 分析静态代码可能会漏掉这些必须通过动态调试才能发现的“死角”。
• 争议点 2：AI 的“理解”是真正的理解吗？（作者观点/你的推断）。
  • 文章可能暗示 AI “理解”了后门逻辑，但实际上 AI 可能只是在概率上匹配了常见的恶意代码模式。面对全新的、未知的后门类型（例如利用特定编译器 Bug 的后门），模式匹配可能会