Positive Technologies разработала нейросеть для обнаружения вредоносных сценариев в коде

Positive Technologies разработала нейросеть для обнаружения вредоносных сценариев в коде

Positive Technologies представила нейросетевую модель MOLOT, предназначенную для поиска намеренно внедрённого вредоносного кода в программных проектах. Технология уже встроена в анализатор исходного кода PT Application Inspector и доступна начиная с релиза 6.0.

Почему классические методы не справляются

Традиционные сканеры ищут уязвимости и опасные конструкции по заранее заданным правилам. Однако современная угроза — это не случайные ошибки, а целенаправленно внедрённые закладки. Такой код работает внутри приложения с легитимными правами доступа и не содержит привычных «дыр». Стандартные инструменты его просто не замечают.

Каждое действие вредоносного фрагмента по отдельности выглядит безобидно: чтение файла, сетевой запрос, шифрование строки, запуск процесса. Всё это встречается и в обычных приложениях. Опасность возникает, когда действия выстраиваются в определённую последовательность — например, чтение паролей, их кодирование и отправка на внешний сервер.

Как работает MOLOT

MOLOT построена на архитектуре трансформер и анализирует код не по отдельным строкам, а по сценариям поведения программы. Из кодовой базы извлекаются все операции: обращения к файлам, сетевые запросы, запуск процессов, использование криптографии. Они собираются в последовательность, которая подаётся в нейросеть. Модель обучена отличать типичные сценарии легитимных приложений от поведения, характерного для вредоносного кода.

В отличие от сигнатурных правил, MOLOT видит цепочку целиком. По словам разработчиков, тестирование на реальных вредоносных пакетах из репозиториев PyPI и npm показало повышение точности до 30 процентных пунктов по сравнению с открытыми аналогами. Компания опубликовала бенчмарк с набором данных для независимой проверки результатов.

Практическое применение

Модель интегрирована в PT Application Inspector и поддерживает три наиболее популярных языка: Python, JavaScript и TypeScript. Это делает её актуальной для большинства современных проектов, включая веб-приложения, микросервисы и инструменты автоматизации.

Важная особенность — интерпретируемость результатов. Нейросеть не просто выдаёт вердикт, но и подсвечивает конкретные строки кода, повлиявшие на решение. Аналитик за пару кликов переходит к подозрительному фрагменту и самостоятельно проверяет вывод.

Контекст

Интерес к подобным инструментам растёт на фоне увеличения числа атак через цепочки поставок ПО, вредоносных пакетов в публичных репозиториях и распространения ИИ-инструментов для генерации кода. MOLOT стал вторым в мире SAST-продуктом, способным обнаруживать такие угрозы по поведению программы.