Code Insight es una nueva herramienta integrada en el servicio online de VirusTotal, que utiliza un enfoque basado en modelos generativos e inteligencia artificial para analizar posibles comportamientos maliciosos de malware. En abril de 2023, durante la RSA Conference, VirusTotal anunció la integración de Code Insight, basado en el modelo lingüístico de grandes dimensiones Sec-PaLM de Google, con el objetivo de mejorar el rastreo de posibles amenazas informáticas.
VirusTotal es un servicio online gratuito que permite analizar archivos y URL para detectar malware, virus, troyanos y otros tipos de amenazas informáticas. El servicio fue creado en 2004 por una empresa española, posteriormente adquirido por Google en 2012, y hoy en día es mantenido por una subsidiaria de Google, Chronicle.
Los usuarios pueden cargar archivos o ingresar URL en VirusTotal para que el servicio realice un escaneo utilizando decenas de motores antivirus y antimalware de terceros, como Sophos, BitDefender, ESET, TrendMicro, Malwarebytes, F-Secure, AVG, Avast, McAfee, Kaspersky, Dr.Web, Symantec, entre otros. Después del análisis, VirusTotal proporciona un informe detallado que indica cuántas soluciones antivirus han detectado la presencia de malware en el archivo o URL analizado.
La nueva herramienta de VirusTotal, Code Insight, se basa en el Google Cloud Security AI Workbench, una plataforma que utiliza el modelo generativo Sec-PaLM para entender las operaciones que realizan los archivos escaneados o en ejecución en el sistema. En la actualidad, Code Insight se ha configurado para analizar un subconjunto de archivos PowerShell cargados en VirusTotal, excluyendo los archivos muy similares a los ya analizados y los elementos de tamaño excesivo. Esto permite un uso eficiente de los recursos de análisis, asegurando que solo los archivos más relevantes, como los archivos PowerShell en formato PS1, sean analizados.
La herramienta Code Insight también ayudará a obtener información sobre los falsos positivos y negativos, ya que su análisis es completamente independiente de los metadatos asociados, como los resultados del antivirus: solo se examina el contenido del archivo. VirusTotal añadirá otros formatos de archivos a la lista de los admitidos, además del PS1, con el objetivo de ampliar el alcance de esta nueva herramienta.
La integración de modelos de lenguaje de grandes dimensiones (LLM) en la herramienta de análisis de código es un avance significativo que permite a los profesionales de la seguridad obtener valiosa información sobre la estructura y el comportamiento del código potencialmente malicioso, mejorando la detección de amenazas y la eficiencia de la respuesta.
Sin embargo, como cualquier otro modelo LLM, los datos proporcionados pueden contener errores y su precisión puede variar. Por lo tanto, los analistas de seguridad deben interpretar la información generada por Code Insight considerando los datos de contexto relativos a cada archivo analizado. Con esta nueva herramienta, VirusTotal busca mejorar la seguridad de la información en línea y fuera de línea, proporcionando un servicio de análisis rápido y preciso que identifica potenciales amenazas informáticas.