Passa ai contenuti principali

SoK, potenzialità e sfide dei modelli linguistici per il Reverse Engineering


Il reverse engineering è da sempre una delle attività più complesse nel mondo della cybersecurity. Disassemblare, decompilare, interpretare binari offuscati e ricostruire la logica nascosta all’interno di un eseguibile richiede tempo, competenze approfondite e grande attenzione ai dettagli. Negli ultimi anni però, con l’arrivo dei modelli linguistici di grandi dimensioni, si è aperta una prospettiva nuova: sfruttare la capacità di questi sistemi di ragionare su testo e codice per accelerare e in parte automatizzare il processo di analisi. Un recente lavoro pubblicato su arXiv propone una vera e propria sistematizzazione delle conoscenze su questo tema, raccogliendo 44 studi accademici e 18 progetti open source che uniscono LLM e reverse engineering e cercando di dare un ordine a un campo di ricerca ancora frammentato. L’articolo si presenta come una fotografia aggiornata e completa, utile non solo per i ricercatori ma anche per i professionisti della sicurezza che vogliono capire se e come questi strumenti possano entrare nei flussi di lavoro reali.

L’idea di fondo è chiara: i modelli linguistici, addestrati su enormi quantità di dati testuali e di codice, hanno sviluppato capacità che sembrano adattarsi bene ad alcuni passaggi tipici del reverse engineering. Sanno generare descrizioni, rinominare variabili, individuare pattern, suggerire corrispondenze semantiche tra frammenti di codice. Allo stesso tempo però emergono limiti significativi: le famigerate “allucinazioni”, ovvero la tendenza a produrre output plausibili ma falsi, l’incapacità di gestire correttamente il codice fortemente offuscato, la difficoltà di operare a livello di istruzioni macchina o di raw bytes dove il contesto semantico è minimo. Il cosiddetto “gap semantico” tra il linguaggio macchina e il codice ad alto livello rimane una barriera dura da superare.

Il contributo principale dello studio è una tassonomia a cinque dimensioni che permette di classificare i diversi approcci. Le ricerche possono essere distinte in base all’obiettivo (performance, interpretabilità, scoperta, robustezza), al target su cui operano (raw bytes, assembly, codice decompilato o sorgente), al metodo utilizzato (dalla semplice ingegneria dei prompt al fine-tuning, dall’integrazione con basi di conoscenza all’uso di agenti e pipeline complesse), al tipo di valutazione adottata (esperti umani, metriche automatiche, test con ground truth) e infine alla scala dei dati impiegata per l’addestramento o la validazione. Questa griglia mette in evidenza come la stragrande maggioranza dei lavori sia ancora concentrata sul miglioramento della performance di compiti noti, mentre sono pochissimi quelli che mirano a una reale interpretabilità dei risultati o alla scoperta di nuove vulnerabilità. Allo stesso modo la maggior parte degli studi lavora su codice decompilato o assembly, mentre il livello più grezzo dei raw bytes rimane poco esplorato.

Tra gli esempi più citati ci sono progetti come DeGPT, che mostra come un approccio basato su codice decompilato e una combinazione di prompting ed euristiche semantiche possa produrre risultati concreti e valutabili anche da esperti, e DISASLLM, che invece evidenzia i limiti dei modelli attuali quando ci si trova di fronte a forti tecniche di offuscamento. In generale emerge un quadro promettente ma ancora incompleto: i progressi ci sono, ma la fragilità dei modelli, la scarsa riproducibilità e la mancanza di dataset e benchmark condivisi frenano la possibilità di trasformare questi studi in strumenti realmente affidabili.

Dal punto di vista pratico per la comunità cybersecurity significa che oggi i modelli linguistici possono essere utilizzati come supporto nell’analisi, come acceleratori in alcune fasi ripetitive o di documentazione, ma non possono sostituire l’occhio critico dell’analista. È fondamentale mantenere un approccio prudente, verificare ogni risultato e non considerare mai l’output di un LLM come una verità affidabile senza riscontri. Gli autori del paper sottolineano che la direzione futura dovrebbe puntare non solo a modelli più grandi, ma a metodologie ibride più robuste, a dataset aperti e condivisi, a pipeline trasparenti e riproducibili. La sfida non è solo tecnica ma anche comunitaria: servono standard, benchmark e tool open source che permettano di crescere insieme, evitando di affidare tutto a soluzioni proprietarie e opache.

Il messaggio è duplice. Da un lato è il momento giusto per sperimentare, perché chi saprà integrare per primo le capacità degli LLM con gli strumenti di analisi tradizionali potrà avere un vantaggio competitivo reale. Dall’altro lato è necessario sviluppare una mentalità critica, capace di riconoscere quando un modello offre un contributo utile e quando invece rischia di introdurre rumore, bias o addirittura vulnerabilità. In definitiva il connubio tra intelligenza artificiale e reverse engineering non è magia, ma un terreno fertile in cui le potenzialità si intravedono chiaramente e le sfide non mancano.
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Il “colpo di fortuna” (e la tecnica) che ha riportato indietro 3 milioni di dollari in Bitcoin. Un wallet perduto e ritrovato grazie a un bug in un password manager

Immagina di aver messo via 43,6 BTC nel 2013, aver generato una password lunghissima con un password manager “per sicurezza”, poi perdere il file che la conteneva — e risvegliarti 11 anni dopo con la possibilità concreta di non rivedere mai più quei soldi. È successo davvero, e la storia è un perfetto mix tra noir informatico, reverse engineering e una lezione pratica di cyber-igiene. La vicenda ha come protagonista un utente anonimo che aveva usato RoboForm per creare una password di 20 caratteri e salvarla in un file cifrato. Quel file, col tempo, si è corrotto e l’accesso al wallet è diventato impossibile. Anni dopo, due ricercatori — tra cui l’ingegnere Joe Grand, noto come “Kingpin” — hanno preso in mano la situazione. Analizzando una vecchia versione del software, hanno scoperto che il generatore di password dipendeva in modo prevedibile dalla data e dall’ora del computer. In pratica, il sistema non era così casuale come sembrava: conoscendo il periodo di utilizzo e i parametri s...
Posta un commento
Continua a leggere »

Stati Uniti, centinaia di server SIM sequestrati, il Secret Service smantella la rete, ma resta il dubbio sui veri nemici

Negli Stati Uniti, il 23 settembre 2025, il Secret Service ha annunciato di aver smantellato una rete clandestina composta da oltre 300 server SIM e 100.000 schede SIM nelle immediate vicinanze di New York, entro un raggio di 35 miglia dal quartier generale delle Nazioni Unite. Secondo l’agenzia, quella rete costituiva una minaccia imminente alla sicurezza delle comunicazioni, con capacità di intromettersi in traffico critico, mandare messaggi anonimi e criptati, persino compromettere celle telefoniche e bloccare chiamate d'emergenza. Le autorità americane affermano che la rete fosse legata a “minacce telematiche” rivolte a funzionari governativi statunitensi di alto profilo e che le prime indagini mostrino che attori stranieri avessero comunicazioni con persone già note alle autorità federali. L’operazione è stata giustificata come misura preventiva, vista la concomitanza con l’Assemblea Generale dell’ONU, in cui numerosi leader mondiali erano attesi, e la vicinanza geografica del...
Posta un commento
Continua a leggere »