Il reverse engineering nell'era AI: perché il lavoro conta di più e come AI cambia il flusso di lavoro

Il reverse engineering nell'era AI: perché il lavoro conta di più e come AI cambia il flusso di lavoro

Il reverse engineering nell'era AI: perché il lavoro conta di più e come AI cambia il flusso di lavoro

Introduzione

Molte persone presumevano che AI avrebbe fatto sembrare obsoleto il reverse engineering. La fantasia era chiara. I modelli leggerebbero il codice, spiegherebbero i binari, districherebbero i protocolli, riassumerebbero il malware e in generale sostituirebbero il vecchio lavoro di paziente indagine tecnica con qualcosa di più veloce, più brillante e molto più adatto alle diapositive delle conferenze.

La realtà è stata più rude e interessante.

AI non ha ridotto la necessità di reverse engineering. Lo ha aumentato. Ora viviamo in un mondo di client più opachi, più wrapper proprietari attorno ai modelli, più dispositivi edge che distribuiscono comportamenti non documentati, più tempi di esecuzione degli agenti che superano i confini della fiducia, più software desktop e mobile che nascondono la logica consequenziale nei binari e più team che cercano di integrare o proteggere sistemi che non hanno creato e che non possono ispezionare completamente solo dalla fonte. Questo non è meno ingegneria inversa. Questo è di più e sotto una maggiore pressione di consegna.

La ragione più profonda è semplice. AI espande il comportamento del software più velocemente di quanto espande l'onestà del software. I sistemi vengono assemblati da AI, runtime, agenti, plug-in, firmware del dispositivo, componenti di model-serving e client di terze parti che sembrano tutti coerenti su un diagramma finché qualcuno non deve spiegare cosa sta effettivamente facendo un binario, cosa sta realmente inviando un wrapper di modello o perché un aggiornamento ha cambiato comportamento in un modo che nessuno si è impegnato a difendere.

È qui che il reverse engineering diventa decisamente moderno anziché vagamente nostalgico. Non è più solo il lavoro di analisti di malware, specialisti di firmware o archeologi di protocolli. È il lavoro di team che devono recuperare la verità dagli artefatti dopo che la documentazione è diventata ottimistica, incompleta o completamente fittizia.

AI cambia questo lavoro, sì. Può accelerare il triage, l'annotazione, la generazione di ipotesi, le differenze e la bozza della documentazione. Può aiutare a creare script di supporto più velocemente. Può ridurre il tempo che intercorre tra "cos'è questa cosa?" e "abbiamo una lettura tecnica funzionante". Ma non abolisce la disciplina centrale. Il manufatto deve ancora essere esaminato. Il tempo di esecuzione deve ancora essere rispettato. Il protocollo deve ancora essere validato. L’uomo deve ancora decidere se la spiegazione sopravvive al contatto con l’evidenza.

Questa è la parte che le persone continuano a cercare di saltare, forse perché saltarla suona moderna. Sfortunatamente, i sistemi di produzione, la risposta agli incidenti e le revisioni della sicurezza presentano ancora la vecchia debolezza di preferire la realtà.

Perché il reverse engineering è diventato più prezioso, non meno

Il moderno patrimonio software contiene più scatole nere di quanto molti team siano disposti ad ammettere. Alcuni di essi sono storici: file binari legacy, client di fornitori, firmware di dispositivi abbandonati, componenti desktop non documentati, protocolli proprietari, programmi di installazione, moduli kernel o middleware che non hanno mai imparato a parlare chiaramente. Alcuni sono nuovi di zecca: runtime di modelli, shell di agenti, pacchetti di inferenza incorporati, estensioni del browser, formati di aggiornamento di dispositivi intelligenti e pacchetti di applicazioni che trasformano silenziosamente il comportamento locale in comportamento di rete in modi che nessuno ha documentato perché lo sprint era già in ritardo.

L'era AI aumenta questa pressione in tre modi.

Innanzitutto moltiplica gli artefatti. I team ora forniscono e integrano più wrapper, più assistenti, più logica lato client, più fornitori SDKs e più livelli di sperimentazione rispetto a prima. Ogni nuovo livello può diventare un luogo in cui presupposti di sicurezza, costi prestazionali o cambiamenti di comportamento si nascondono dietro il marchio e l’ottimismo.

In secondo luogo, moltiplica i problemi di interpretazione. La domanda non è più solo "cosa fa questo binario?" È anche "cosa sta facendo questo binario al percorso di chiamata del modello, al percorso di recupero, alla cache locale, alla superficie del plugin, al meccanismo di aggiornamento o al flusso di lavoro dell'operatore?" Il reverse engineering diventa il lavoro di recupero del comportamento di sistemi la cui documentazione è stata scritta da team diversi, epoche diverse o umori diversi.

In terzo luogo, moltiplica il costo di sbagliare. Se un’utilità convenzionale si comporta in modo strano, il danno potrebbe essere limitato. Se un client abilitato per AI, un agente di supporto o un componente di automazione proprietario si comporta in modo strano, il danno può riversarsi in fuga di dati, autorizzazioni imprevedibili, false tracce di controllo o una storia di sicurezza che crolla la prima volta che qualcuno confronta la promessa con l'acquisizione del pacchetto.

Quindi il lavoro conta di più perché gli artefatti contano di più. Il problema non è che il software sia incomprensibile. Il problema è che importanti software rimangono commercialmente attivi pur essendo solo parzialmente leggibili. Il reverse engineering è il modo in cui i team colmano questo divario senza aspettare che il venditore, l'autore originale o l'universo sviluppino abitudini migliori.

Dove AI aiuta davvero il reverse engineering

AI è utile nel reverse engineering quando viene utilizzato come livello di accelerazione, non come sostituto della verità.

È molto bravo a far muovere il primo passaggio. Grandi pile di stringhe, importazioni, log, simboli, output del decompilatore, tracce API e segnali strutturali ripetitivi possono essere raggruppati, etichettati, riepilogati e classificati in priorità molto più velocemente con l'assistenza della macchina piuttosto che facendo strizzare gli occhi a tutto finché il caffè non smette di funzionare. Ciò è importante perché molti impegni si bloccano non sulla deduzione tecnica più difficile, ma sulla palude dell’ordinamento iniziale che deve avvenire prima che il vero problema diventi visibile.

AI è utile anche per le annotazioni. Le funzioni decompilate necessitano di suggerimenti per la denominazione. I modelli di chiamata ripetuti devono essere raggruppati. Le transizioni tra stati candidati necessitano di spiegazioni provvisorie. I campi del protocollo necessitano di ipotesi. La colla per utensili deve essere scritta. Gli aiutanti di Ghidra e Frida hanno bisogno di una prima bozza. La documentazione per il resto del team deve smettere di sembrare una richiesta di riscatto dal codice binario.

Questo tipo di aiuto è reale. Risparmia tempo. Rende la prima parte del lavoro meno noiosa. Rende anche più semplice la collaborazione, perché l'artefatto grezzo diventa più discusso prima. Ingegneri, ricercatori e decisori possono iniziare da una mappa etichettata invece che da una parete di caverna digitale.

C’è un altro vantaggio che conta dal punto di vista commerciale. AI riduce il tempo che intercorre tra il sospetto e una lettura di qualità decisionale. Ciò può cambiare l’economia di un impegno. Un team non ha bisogno di aspettare così a lungo per sapere se ha a che fare con un normale problema di integrazione, un limite di sicurezza nascosto, un wrapper di modello protetto, un percorso di aggiornamento sepolto o un componente il cui comportamento è sufficientemente diverso dalla documentazione da far sì che la leadership dovrebbe smettere di fingere il contrario.

Usato in questo modo, AI non sostituisce il reverse engineering. Sta rendendo il reverse engineering meno lento dal punto di vista amministrativo.

Dove si trova AI e perché è ancora importante

Anche AI mente magnificamente, ed è proprio per questo che i team disciplinati si rifiutano di affidargli la responsabilità delle conclusioni.

Un modello può generare nomi di funzioni plausibili ma errati. Può dedurre una storia di protocollo che si adatta a metà dei campi e allucina il resto. Può produrre commenti sicuri sull'output del decompilatore che sembrano più nitidi di quanto meritino le prove. Può ridurre l'ambiguità in una frase raffinata prima che il runtime abbia confermato qualcosa. E poiché il linguaggio è fluido, le persone iniziano a trattarlo come conoscenza piuttosto che come congettura con un atteggiamento gradevole.

Ciò è particolarmente pericoloso nel reverse engineering perché molti artefatti sembrano già suggestivi. Le stringhe suggeriscono il comportamento. Le importazioni suggeriscono capacità. Le forme dei simboli suggeriscono la struttura. Il flusso di controllo decompilato suggerisce l'intenzione. I suggerimenti sono utili. I suggerimenti non sono verdetti. AI tende a far sembrare i suggerimenti dei verdetti prima di quanto dovrebbe consentire un flusso di lavoro per adulti.

Questo è il motivo per cui i team forti creano una regola che sembra quasi antiquata: AI può elaborare l'ipotesi, ma l'artefatto e il runtime possiedono ancora la risposta.

L'acquisizione di un pacchetto batte una narrazione. Un replay batte una teoria. Una traccia di memoria batte un paragrafo fiducioso. Un gancio dinamico batte un affascinante riassunto del modello. Una transizione di stato riprodotta batte una spiegazione sospettosamente raffinata che in realtà non è mai sopravvissuta all’esecuzione.

Ciò non rende AI inutile. Lo rende governabile. E gli strumenti governabili sono quelli che guadagnano un posto permanente nel lavoro ingegneristico serio.

Il flusso di lavoro che funziona davvero

L'interazione più affidabile tra AI e il reverse engineering è ciclica piuttosto che devozionale.

Per prima cosa, raccogli l'artefatto onestamente. Binario, pacchetto, traccia, stringhe, importazioni, acquisizioni, log, payload di aggiornamento, albero dei processi, chiamate di sistema, bordi di rete, output del decompilatore. Non lasciare che lo strumento inizi a inventare prima che le prove siano sul tavolo.

In secondo luogo, usa AI per accelerare il triage. Raggruppare le importazioni. Etichetta le corde. Riepilogare i flussi ripetitivi. Bozza delle probabili responsabilità del modulo. Produrre i nomi dei candidati e i probabili confini. Genera piccoli script per lavori ripetitivi sugli utensili. Chiedete ipotesi, non dottrine.

Terzo, convalida dinamicamente. Agganciare il percorso. Riproduci il traffico. Attiva il comportamento. Confronta le modifiche al file system, le modifiche al registro, le modifiche alla rete, le operazioni di crittografia o lo stato UI con l'ipotesi. È qui che le belle bugie iniziano a morire, e questo è salutare per tutti.

Quarto, scrivere la conclusione in un linguaggio umano che sopravviva all’esame accurato. Cosa sta realmente accadendo? Cosa c’è ancora di incerto? Qual è il rischio? Cosa può essere cambiato dopo? Quali prove supportano tale ordine? Il reverse engineering diventa commercialmente utile solo quando il risultato è sufficientemente leggibile da poter essere programmato.

Questo flusso di lavoro è più lento della fantasia e più veloce della confusione. Di solito è la velocità giusta.

Casi pratici che vale la pena risolvere prima

Comportamento proprietario del client AI.

I team fanno sempre più affidamento su assistenti di terze parti, wrapper di inferenza, estensioni del browser o client aziendali che dichiarano di essere sicuri, privati, con ambito o locali. Il reverse engineering aiuta a verificare se locale significa davvero locale, se le cache si comportano in modo onesto, se gli allegati vengono elaborati nel modo in cui pensano le persone e dove si trovano i confini reali della rete e dello storage.

Strumenti dell'agente e superfici dei plug-in

Le shell degli agenti spesso accumulano strumenti più velocemente di quanto accumulano governance. Il reverse engineering e l'ispezione dinamica aiutano i team a confermare come vengono richiamati gli strumenti, quali argomenti nascosti sono allegati, dove è archiviata la memoria o il contesto e se il comportamento in fase di esecuzione corrisponde alla policy story che qualcuno ha scritto per l'approvvigionamento.

Classificazione di malware e minacce

Questo è il caso classico e AI è veramente utile in questo caso quando accelera il triage iniziale senza che gli venga permesso di diventare l'analista finale. Importazioni, stringhe, suggerimenti per la decompressione, modelli di comando e controllo e comportamento del file system possono essere organizzati rapidamente. Il passo pericoloso si ha quando "organizzato velocemente" viene scambiato per "compreso completamente".

Interoperabilità legacy

I moderni prodotti AI sono sempre più legati ai vecchi complessi aziendali. Quando un client desktop legacy, un componente del dispositivo o un bridge non documentato modella ancora il percorso, il reverse engineering recupera il confine che il progetto non può più permettersi di indovinare.

Che bell'aspetto

Un buon reverse engineering nell'era AI fa tre cose contemporaneamente.

Riduce l'ambiguità. Il team può indicare un percorso reale, un’interfaccia reale, un insieme di capacità reali o un limite di rischio reale invece di parlare con costosi bollettini meteorologici.

Riduce il tempo necessario per prendere una decisione. Leadership, proprietari di prodotti, sicurezza o piattaforme apprendono più velocemente se hanno bisogno di una patch, di una fase di contenimento, di una riscrittura dei confini, di una conversazione con un fornitore o del rifiuto di fidarsi di uno strumento che è stato introdotto con aggettivi sospettosamente entusiasti.

E riduce il teatro organizzativo. Una volta mappato il binario, riprodotto il protocollo, osservato il client o agganciato il runtime, la stanza diventa più silenziosa. Le persone smettono di ascoltare le opinioni e iniziano a lavorare con le prove. Il reverse engineering è sottovalutato in parte perché è chiarificatore, e il lavoro di chiarimento ha la brutta abitudine di rendere le storie gonfiate più difficili da mantenere.

Laboratorio pratico: crea un piccolo assistente per il triage delle importazioni

Manteniamo il laboratorio pratico. Gran parte del lavoro di reverse engineering inizia con una domanda modesta: che tipo di binario sta cercando di essere?

triage.py

from collections import Counter

IMPORT_BUCKETS = {
    "network": {"send", "recv", "connect", "WSAStartup", "InternetOpenUrlW"},
    "filesystem": {"CreateFileW", "ReadFile", "WriteFile", "DeleteFileW"},
    "registry": {"RegOpenKeyExW", "RegSetValueExW"},
    "crypto": {"CryptProtectData", "BCryptEncrypt", "BCryptDecrypt"},
    "process": {"CreateProcessW", "OpenProcess", "VirtualAllocEx", "WriteProcessMemory"},
}


def classify_imports(imports):
    counts = Counter()
    for name in imports:
        for bucket, members in IMPORT_BUCKETS.items():
            if name in members:
                counts[bucket] += 1
    return counts


if __name__ == "__main__":
    sample_imports = [
        "CreateFileW",
        "ReadFile",
        "send",
        "recv",
        "BCryptEncrypt",
        "OpenProcess",
        "VirtualAllocEx",
        "WriteProcessMemory",
    ]

    result = classify_imports(sample_imports)
    for bucket, value in result.items():
        print(f"{bucket}: {value}")

Correre

python triage.py

Perché questo piccolo esercizio è importante

Perché dimostra un’utile abitudine: passare rapidamente dal rumore degli artefatti verso ipotesi limitate. Lo script non dimostra cosa fa il binario. Ti dà una prima domanda più pulita. Nel lavoro reale, AI è molto bravo a generare e perfezionare aiutanti come questo. L'umano deve ancora decidere cosa significano i conteggi nel contesto.

Attività di prova per appassionati

  1. Estendi il classificatore con importazioni WinHTTP, WinINet, socket POSIX o libc in modo che possa funzionare su più famiglie di destinazione.
  2. Aggiungi il raggruppamento di modelli di stringa e confronta quanto migliora la lettura di primo passaggio quando le importazioni e le stringhe vengono visualizzate insieme.
  3. Inserisci l'output in un piccolo modello di nota Ghidra o IDA in modo che le prime ipotesi diventino artefatti riutilizzabili del team.
  4. Chiedi a un assistente AI di suggerire le etichette dei bucket, quindi convalida ciascuna etichetta rispetto al percorso di runtime effettivo prima di fidarti di essa.
  5. Confronta due elenchi di importazione da due versioni dello stesso codice binario e scrivi un riepilogo delle modifiche di una pagina che un responsabile della sicurezza potrebbe effettivamente utilizzare.

Riepilogo

Il reverse engineering conta di più nell'era AI perché i sistemi moderni producono artefatti più opachi, confini più nascosti e comportamenti più significativi dal punto di vista commerciale di cui non ci si può fidare solo sulla base della documentazione. AI aiuta il lavoro accelerando il triage, l'annotazione e la generazione di ipotesi. Danneggia il lavoro quando viene promosso troppo presto da assistente a testimone.

Lo schema vincente non è quello tra macchina e uomo. Si tratta di un lavoro di prova assistito da macchine e governato dalla convalida umana. Questo è il modo in cui i team recuperano la verità dagli artefatti abbastanza rapidamente da facilitare la consegna senza lasciare che un linguaggio fluido superi il sistema che dovrebbe spiegare.

Riferimenti

  1. Casa del progetto Ghidra: https://ghidra-sre.org/
  2. Documentazione Frida: https://frida.re/docs/home/
  3. documentazione angr: https://docs.angr.io/
  4. Documentazione Wireshark: https://www.wireshark.org/docs/
  5. Quadro di smontaggio Capstone: https://www.capstone-engine.org/
Yevhen R.

Yevhen R. – Ingegnere informatico e ricercatore AI

Articoli correlati

Software legacy di reverse engineering per la modernizzazione e l'interoperabilità

Software legacy di reverse engineering per la modernizzazione e l'interoperabilità

Una guida pratica per il reverse engineering del software legacy quando la documentazione è debole e la modernizzazione o l'interoperabilità devono a…

Reverse Engineering del firmware per team di sicurezza e proprietari di prodotti

Reverse Engineering del firmware per team di sicurezza e proprietari di prodotti

Un articolo tecnico sul reverse engineering del firmware, sull'analisi dei pacchetti di aggiornamento, sulla comprensione del protocollo e su come i…

Ingegneria inversa del protocollo binario per interfacce non documentate

Ingegneria inversa del protocollo binario per interfacce non documentate

Un approfondimento tecnico sul reverse engineering del protocollo binario per interfacce proprietarie, dispositivi non documentati e integrazioni che…

Torniamo ai blog

Contatto

Inizia la conversazione

Bastano poche righe chiare. Descrivi il sistema, la pressione e la decisione che è bloccata. Oppure scrivi direttamente a midgard@stofu.io.

01 Cosa fa il sistema
02 Ciò che fa male adesso
03 Quale decisione è bloccata
04 Opzionale: log, specifiche, tracce, differenze
0 / 10000
Nessun file selezionato

Un brief conciso funziona perfettamente qui. Preferisci invece una chiamata?