Csődöt mondott a gépi tanulás?

Egy biztonsági vizsgálat során ismét felvetődött, hogy a vírusvédelem területén mennyire is bízhatunk meg a mesterséges intelligencia és a gépi tanulás vívmányaiban.
 

A biztonsági technológiák fejlesztésével foglalkozó cégek is egyre gyakrabban a hangsúlyozzák, hogy a megoldásaik gépi tanulásra épülő algoritmusokat is használnak, amivel a biztonsági rendellenességek vagy éppen a kártékony programok kiszűrése igencsak hatékonnyá válik. A Skylight kiberbiztonsági cég kutatói azonban úgy gondolták, hogy kicsit megizzasztják ezeket a technológiákat, és megnézik, hogy mi is van a hangzatos marketing mögött.
 
A Skylight ezúttal a Cylance mesterséges intelligenciával felvértezett biztonsági termékét vette górcső alá. (A Cylance tavaly óta a BlackBerry tulajdonában van.) Az antivírus motor alapos elemzését követően a szakemberek meglehetősen jól kiismerték a gépi tanulás által biztosított védelmet, és arra is rájöttek, hogy az milyen jellemzők, sajátosságok alapján dönti el egy fájlról, hogy ártalmatlan vagy kártékony. Majd nem volt más teendőjük, mint hogy vírusos állományokat ellássanak olyan kódrészletekkel, amik alapján a Cylance védelme azt mondta, hogy ezek így bizony nem károsak.
 
A kutatók a kísérleteik során összesen 384 fertőzött fájlt futtattak át a tesztelt biztonsági megoldáson, és ez idő alatt 83 százalékos eredményt értek el. Vagyis az esetek mindössze 17 százalékában ismerte fel a mesterséges intelligencia, hogy valami nem stimmel az állományokkal. Ez pedig igencsak lehangoló eredmény, főleg annak tudatában, hogy olyan hírhedt kártevők is átcsúsztak a védelmen, mint amilyen például a CoinMiner, a Dridex, az Emotet, a Gh0stRAT, a Kovter, a Nanobot, a Qakbot, a Trickbot vagy a Zeus.
 
Nem boldog a Cylance
 
A gyártó a nemzetközi sajtóban felröppent vizsgálat hallatán nem repdesett az örömtől. Elsősorban nem is azért, mert az eredmények nem túl impozánsak, hanem azért, mert véleménye szerint a kutatás eredményeit előbb célszerű lett volna ismertetni közvetlenül a fejlesztőivel, és nem a sajtón keresztül kommunikálni. Így ugyanis nem volt lehetőség arra, hogy a Skylight által feltárt rendellenességeket kivizsgálhassák. Nem elképzelhetetlen, hogy rossz konfigurációs beállítások vezettek a szokatlanul rossz eredményekhez.
 
A Cylance jelenleg is vizsgálja a bejelentést. Egyelőre annyit közölt, hogy ha beigazolódnak a Skylight által felvetett problémák, akkor a lehető legrövidebb időn belül meg fogja tenni a szükséges lépéseket. (A Skylight a vizsgálatról a részletes jelentést nem hozta nyilvánosságra.)
 
Akkor most mi lesz a gépi tanulással?
 
Ez az eset is arra világít rá, hogy a mesterséges intelligencia, valamint a gépi tanulás nem egy olyan forradalmi vívmány, ami minden téren maradéktalanul megállja a helyét. A Skylight is azt hangsúlyozta, hogy ezek a technológiák akkor igazán hasznosak, ha a mélységi védelem egyik rétegeként működnek, kiegészítve a hagyományos eljárásokkal.
 
A kutatók szerint, noha most a Cylance termékei voltak középpontban, korántsem elképzelhetetlen, hogy más gyártók megoldásai is hasonlóan szerepelnének egy teszten. Ugyanakkor azt is hozzátették, hogy a gépi tanulással működő védelmek kiismerése egyáltalán nem könnyű feladat, és nem megy egyik pillanatról a másikra. Sokszor a szignatúraalapú víruskereső eljárások jóval könnyebben megkerülhetők.
 
A gépi tanulás biztonság megteremtésében, fenntartásában betöltött szerepét korántsem szabad lebecsülni, de egyelőre azt sem célszerű gondolni, hogy ezek önmagukban mindent egy csapásra megoldanak. Napjainkban elsősorban a még ismeretlen kártékony programok, illetve támadási eljárások felismerésében vagy legalábbis gyanúsnak nyilvánításában játszhatnak fontos szerepet.

Frissítés

A Cylance fejlesztői jelezték, hogy megtalálták a probléma forrását, és frissítették a felhős szolgáltatásaikat. Napokon belül az agent alapú védelmek is megkapják a szükséges hibajavításokat.
 
A cég nyilatkozatából kiderült, hogy egy fájl gépi tanulással történő elemzése többlépcsős folyamat. Először a fájlok különféle jellemzőit, sajátosságait határozzák meg, majd ezeket elemzik matematikai módszerekkel. A most feltárt sebezhetőség lehetőséget adott egyes jellemzőkkel történő manipulációkra, ami bizonyos körülmények között hibás következtetések levonását eredményezte az algoritmusok működése során.