Cộng đồng reverse engineering đang tích cực thảo luận về các ứng dụng thực tế của các công cụ hỗ trợ AI để phân tích mã nhị phân, được khơi dậy bởi việc phát hành GhidrAssistMCP , một tiện ích mở rộng mới kết nối Ghidra với các mô hình ngôn ngữ lớn thông qua Model Content Protocol . Sự phát triển này đã làm bùng phát lại các cuộc trò chuyện về lợi ích và hạn chế của việc sử dụng hỗ trợ AI trong công việc phân tích an ninh mạng.
Các tính năng chính của GhidrAssistMCP :
- Tích hợp MCP Server với SDK chính thức
- Ghi nhật ký và giám sát theo thời gian thực
- Quản lý công cụ động với cài đặt bền vững
- Hơn 25 công cụ phân tích bao gồm các chức năng, dữ liệu và tham chiếu chéo
- Giao diện người dùng có thể cấu hình để lựa chọn công cụ và theo dõi hoạt động
- Hỗ trợ Ghidra phiên bản 9.1.x và các phiên bản mới hơn
Kết quả Hỗn hợp trong Ứng dụng Thực tế
Các thành viên cộng đồng báo cáo những trải nghiệm khác nhau khi tích hợp AI vào quy trình reverse engineering của họ. Một số chuyên gia đã tìm thấy thành công khi sử dụng các mô hình AI cục bộ cho các tác vụ cụ thể, đặc biệt trong việc xác định các hàm tẻ nhạt như triển khai soft float và các hàm thư viện cơ bản. Tuy nhiên, công nghệ này cho thấy những hạn chế rõ ràng khi xử lý các tác vụ phân tích phức tạp hơn.
Một reverse engineer có kinh nghiệm đã ghi nhận những thách thức đáng kể khi cố gắng sử dụng AI để xây dựng cấu trúc tự động từ các mẫu mã, mô tả kết quả là thất bại thảm hại. Điều này làm nổi bật một hạn chế chính khi các công cụ AI xuất sắc trong nhận dạng mẫu cho các loại mã đã biết nhưng gặp khó khăn với phân tích cấu trúc mới lạ.
Các Danh Mục Công Cụ Phân Tích Có Sẵn:
- Phân Tích Chương Trình: get_program_info, list_functions, list_data, list_strings, list_imports/exports
- Phân Tích Hàm: decompile_function, disassemble_function, search_functions, rename_function
- Vị Trí & Điều Hướng: get_current_address, xref_to/from functions
- Phân Tích Nâng Cao: auto_create_struct để tạo cấu trúc tự động
- Công Cụ Nhận Dạng: đổi tên hàm/biến, thiết lập kiểu dữ liệu và chữ ký hàm
Vấn đề Mô hình Tư duy
Một mối quan tâm đáng kể nổi lên từ các cuộc thảo luận cộng đồng tập trung vào nguy cơ mất đi chuyên môn lĩnh vực khi phụ thuộc quá nhiều vào hỗ trợ AI. Quá trình reverse engineering truyền thống xây dựng các mô hình tư duy quan trọng về hệ thống mục tiêu, và ngày càng có nhận thức rằng việc ủy thác quá nhiều công việc cho AI có thể làm suy yếu quá trình học tập này.
Bạn đã trúng đích về điều mà hầu hết mọi người bỏ lỡ về LLM , một phần của công việc là xây dựng nhiều mô hình tư duy về hệ thống mà bạn đang làm việc. Khi LLM thực hiện công việc, việc bỏ lỡ mô hình tư duy đó trở nên dễ dàng.
Cái nhìn sâu sắc này phản ánh những lo ngại rộng lớn hơn về việc duy trì kỹ năng kỹ thuật trong khi tận dụng các công cụ AI. Bản chất dùng hoặc mất của chuyên môn reverse engineering khiến điều này đặc biệt có liên quan đối với các chuyên gia trở lại lĩnh vực sau những khoảng nghỉ dài.
Phương pháp Tích hợp Chiến lược
Bất chấp những hạn chế, nhiều thành viên cộng đồng ủng hộ việc tích hợp AI có mục tiêu thay vì thay thế hoàn toàn phân tích của con người. Các ứng dụng thành công nhất dường như tập trung vào việc tự động hóa các tác vụ thường xuyên như xác định hàm và chú thích mã cơ bản, trong khi bảo tồn sự giám sát của con người cho công việc phân tích phức tạp.
Công cụ GhidrAssistMCP đại diện cho phương pháp cân bằng này bằng cách cung cấp hỗ trợ AI có thể cấu hình có thể được kích hoạt có chọn lọc cho các tác vụ phân tích cụ thể. Điều này cho phép các chuyên gia duy trì quyền kiểm soát quy trình làm việc của họ trong khi hưởng lợi từ các khả năng AI khi thích hợp.
Kiến trúc Kỹ thuật:
- Giao thức: HTTP với Server Sent Events (SSE) cho giao tiếp hai chiều
- Cổng mặc định: 8000
- Phụ thuộc: MCP SDK 1.4.1+, Gson , Jackson 2.11.2 , Ghidra API
- An toàn luồng: Xử lý Swing EDT phù hợp cho các thao tác giao diện người dùng
- Quản lý giao dịch: Các thao tác cơ sở dữ liệu an toàn với hỗ trợ rollback
Tác động Tương lai đối với Nghiên cứu Bảo mật
Cuộc thảo luận mở rộng ra ngoài các khả năng hiện tại đến các phát triển tiềm năng trong tương lai, bao gồm khả năng sử dụng embeddings từ các kho mã nguồn mở để tự động xác định các hàm thư viện và khôi phục tên biến gốc. Những tiến bộ như vậy có thể hợp lý hóa đáng kể quá trình reverse engineering, đặc biệt đối với các tệp nhị phân chứa các thành phần nguồn mở đáng kể.
Sự phát triển đang diễn ra cho thấy rằng việc tích hợp AI trong reverse engineering có khả năng sẽ theo mô hình tăng cường thay vì thay thế, với các công cụ phục vụ như những trợ lý tinh vi xử lý các tác vụ thường xuyên trong khi các chuyên gia con người tập trung vào phân tích phức tạp và ra quyết định chiến lược.
Tham khảo: GhidrAssistMCP