約40MBサイズのバイナリにバックドアを隠し、AIとGhidraで検出できるかを実験

Hacker News の意見

• 難読化はしていないとはいえ、import やシンボルを隠し、文字列を難読化すれば検出成功率はすぐに 0 になる
  この場合、LLM が検出しているのは単に悪意ある挙動に関連した言語的な異常パターンにすぎず、それほど印象的ではない

  • 論文著者の一人です。今回の課題は入門レベルの作業で、単にバイナリコードを見るだけでも一部のパターンを捉えられるモデルがあるのは驚きでした
    たとえば Ghidra や Radare2 のようなツーリングを理解するモデルは、Opus 4.5、4.6、Gemini 3 Pro、GLM 5 くらいです
    関連ベンチマークはこちらで見られます
    これは AI がバイナリと一緒に作業できる出発点にすぎず、完全なソリューションまではまだ遠いです
  • 私が ghidra-cli ツールを LLM 向けに開発していたとき、テストに crackme を使いましたが、プロンプトで知らせるだけで難読化されたコードもうまく突破できました
    実際のソフトウェアのリバースエンジニアリングでは、しばらく空回りしたあと難読化だと認識すると、その後は CLAUDE.md のような文書に結果を更新しながらスムーズに進みます
  • 記事でもシンボルを削除したと明記されています。実際のバックドアはすでに最小限のコードで難読化されています
    例として dnsmasq-backdoor と dropbear-brokenauth のパッチを参照できます
  • Opus 4.5 と 4.6 を使って、Claude Code 用の Ghidra プラグインで難読化されたマルウェアを完全にリバースしました
    ただし私が扱ったのは国家級のバックドアではなく、ソフトウェアクラック程度のものでした
  • LLM はこうした特異なパターンをかなりうまく把握するのを見てきました。さまざまな暗号化・難読化手法を学習しているからです
    むしろ複雑なロジックのほうが LLM を崩しますが、良いモデルはその複雑さを自分で認識して表示してくれます

• 自分の ghidra-cli プロジェクトを紹介します
  Ghidra で Altium のファイルフォーマット（Delphi 部分）をリバースしたのですが、その効果は驚くほどでした
  モデルが完全なパーサーをゼロから書けるわけではありませんが、LLM 以前ならこんな試み自体しなかったでしょう
  セキュリティ監査に全面的に頼るつもりはありませんが、最新モデルはファイルフォーマットのリバースエンジニアリングには十分使えます

  • 最近はエージェントを補助ツールとして使うやり方を見ています。完全には依存せず、能力拡張用として使っています
    たとえば図の生成、攻撃面のマッピング、コード探索などを任せ、自分は手動分析に集中します
    LLM は退屈な反復作業を肩代わりしてくれるので速度が上がります。ただし任せすぎると生産性の罠にはまります
    適切な「スキル」セットを持つエージェントの組み合わせを使えば、確実に効率は上がります
  • 私たちは PyGhidra を使っていますが、CLI のほうがアクセスしやすいかもしれません
    Ghidra の最大の制約は、Go 言語の解析速度があまりにも遅いことでした
  • これは本当に素晴らしいプロジェクトです。私が Ghidra + LLM でやっていたものよりずっと洗練されています
  • 関連エコシステムは活発です。最近の MCP サーバーの事例もあります
    私は GhidrAssistMCP、analyzeHeadless、PyGhidra などを使ってきましたが、
    とくに明示的な SKILL.md があるアプローチは AI エージェントとの連携性が高いです
  • このアプローチが複数の Ghidra MCP サーバーと比べてどうなのか気になります

• このスレッドの核心は方法論の議論です
  「難読化を追加すると成功率 0%」という話はその通りですが、実験の目的は AI が熟練したリバースエンジニアのように非難読化バイナリを扱えるかを見ることです
  これは内部監査やレガシーコード分析など、実際に使えるシナリオです
  本当に重要なのは脅威モデルの定義です。自動化された攻撃者レベルが相手ならすでに十分有用ですが、
  AI 検出を意識した高度な攻撃者が相手なら、このテストでは不十分です
  実質的な検証は「軽い難読化（インポート隠し、文字列エンコード）」レベルでの性能を見ることです

  • しかし難読化されたバイナリを認識できないのは、CAPTCHA を通過できないことと同じです
    天気が曇るとリンゴを摘めないロボットを「熟練したリンゴ摘みの専門家」と呼べるのか、という疑問です

• GPT は偽陽性率 0%で安定していますが、検出率は 18% 程度です
  一方 Claude Opus 4.6 は検出率 46% と高いものの、偽陽性率は 22% です
  もし複数モデルを組み合わせて、1 つに検証手順を設計させ、別の 1 つに実際のエクスプロイトテストを実行させれば、もっと興味深い結果になりそうです

  • 実際、このような二値分類性能の測定手法はすでに 100 年前から存在していました
    それなのに生成モデルが登場すると、みんな忘れてしまったようです

• 要点は、「AI が完全なマルウェア検出を行うのは難しいが、開発者が初期のセキュリティ監査を行うのははるかに簡単になった」ということです
  リバースエンジニアリング経験のない開発者でも、疑わしいバイナリを一次分析できるようになりました
  これはセキュリティだけでなく、最適化、デバッグ、ハードウェアのリバース、アーキテクチャ移植などさまざまな領域に広がり得ます
  結局重要なのは、AI を完璧な解析器ではなく仮説生成ツールとして活用する視点です

• ベンチマークの実行ファイルは数百〜数千の関数で構成されており、バックドアはそのうち数行にすぎません
  したがって、ネットワークパーサーや入力処理ルーチンなど重要な経路を戦略的に探索する必要があります
  こうした戦略を .md ファイルの形で LLM に与えるのも方法かもしれません

  • しかしそうすると実験が汚染される可能性があります。「バックドアがあるかもしれない」と知らせた時点で、すでにヒントを与えたことになります
    プロンプトの微妙な一語が結果を変えかねません
    結局、実験設計の複雑さが爆発的に増し、結果の頑健性が下がります
  • それでも今回の研究の課題設定が単純だったことを考えると、結果はすでに印象的です
    専門家のガイドが加われば、強力な性能増幅効果を生み出せる可能性があります
  • ただ、戦略を文書で与えると、モデルがそれをそのままなぞって「戦略的思考」をしているふりをするだけのことがよくあります
    人間の戦略的思考を AI に本当に従わせるのは、依然として難しい課題です

• ベンチマークへの直接リンクはこちらで、
  オープンソースコードは GitHub リポジトリで確認できます

• Gemini が偽陽性率が最も高いという結果は、自分の経験と一致します
  ChatGPT、Claude、Gemini をすべて使ってきましたが、Gemini が最も肯定バイアスが強いです
  いつも最も楽観的な答えを出します
  こうした特性を数値で示すベンチマークを探していたのですが、今回の結果がその根拠になりそうです

• 私は専門家ではありませんが、偽陽性の問題を減らすには、モデル自身にバックドアを実行して検証させてはどうかと思います

  • しかし大半のモデルは安全性ポリシーのため、そうした行動を拒否します
    そのためクロスモデル比較が難しく、代わりにモデルにバックドアの位置を明示させるよう求めています
    モデルを直接カスタマイズしたりファインチューニングしたりするなら、提案された方法は有用かもしれません

• 最高性能のモデルが約 50% しか検出できなかったのは悪くありません。人間より優れている可能性すらあります
  ただ、残りの 50% をなぜ見逃したのかは気になります
  Claude Opus 4.6 がバックドアを見つけておきながら「問題なし」と結論づけたのは興味深いです
  結局これは、AI が人間の判断支援なしに完全な理解へ到達するのは難しいことを示しています