Pe un server dedicat analizei de securitate (fără acces în LAN-ul critic), se instalează Ollama alături de un model specializat pe inginerie inversă și codificare avansată (ex. deepseek-coder sau qwen2.5-coder). Se creează un utilitar Python care acționează ca interfață între fișierul suspect și API-ul local al modelului.

Când un fișier .ps1 suspect este detectat (ex. printr-o alertă de la EDR/Antivirus), este trimis automat către utilitarul Python. Acesta asamblează un System Prompt strict: “Ești un analist malware senior (Reverse Engineer). De-obfuschează codul PowerShell următor. Identifică serverele de Command and Control (C2), adresele IP malițioase, metodele de persistență și explică logica atacului. Returnează codul curat, citibil.”

Motorul AI procesează scriptul și returnează analiza. Scriptul Python utilizează RegEx peste răspunsul generat de AI pentru a extrage automat adresele IP, domeniile și hash-urile fișierelor menționate de model ca fiind parte din payload-ul de atac.

Rezultatul (codul de-obfuscat și IoC-urile) este inserat automat printr-un apel API într-un tichet de incident în platforma de securitate a companiei (Jira, Askit, Wazuh). IoC-urile extrase sunt trimise către firewall-ul perimetral (ex. Fortigate, Cisco ASA) pentru a adăuga instantaneu o regulă de DENY pentru adresele IP malițioase, blocând astfel comunicarea atacatorului cu infrastructura.