网络安全领域正在发生一场静默的变革。微软最近公开的MDASH平台,用超过100个AI代理协同工作,已经在Windows系统里挖出了16个此前未知的漏洞,其中包括4个高危的远程代码执行漏洞。这不是实验室概念,而是已经投入实战检测的生产级工具。

这个被命名为MDASH(Multi-Model Agentic Scanning Harness)的平台,由微软自主代码安全团队和Windows攻击研究与防护小组联合开发。它的工作方式打破了传统安全扫描的单一模型思路——不是让一个AI模型包办一切,而是让100多个专业化代理各司其职,像一支配合默契的狩猎小队。

打开网易新闻 查看精彩图片

具体来看,MDASH发现的16个漏洞分布在多个核心组件:TCP/IP协议栈、IKEEXT IPsec服务、HTTP.sys、Netlogon、DNS解析模块,以及Telnet客户端。其中10个属于内核模式,6个为用户模式。更棘手的是,大部分漏洞无需认证即可远程触发。

四个高危漏洞中,CVE-2026-33827是tcpip.sys中的远程未认证释放后使用漏洞,CVE-2026-33824则是IKEv2服务中的双重释放漏洞,通过UDP 500端口即可触及。这两个漏洞已在5月的安全更新中修复。

误报率是衡量漏洞扫描工具的关键指标。微软安全副总裁Taesoo Kim透露了一组测试数据:研究人员预埋了21个漏洞,MDASH全部检出,误报为零。在更具挑战性的历史回溯测试中,针对clfs.sys的五年MSRC确认案例,召回率达到96%;tcpip.sys更是做到100%。

在公开的CyberGym基准测试中,MDASH以88.45%的得分位居榜首,领先第二名约5个百分点。该基准包含1507个真实世界漏洞样本。

目前MDASH处于双轨运行状态:微软工程师内部日常使用,同时向少量客户开放私有预览。Kim的总结点明了这场技术转向的本质——"AI漏洞发现已经从研究好奇心,跨越到企业级生产防御。持久的优势不在于单个模型,而在于模型周围的代理系统。"

这句话值得细品。当行业还在争论哪个基础模型更强时,微软的解法是把模型嵌入一个协作架构。每个代理可能只擅长特定任务——有的专精协议分析,有的熟稔内存模式,有的负责验证利用链——但组合起来就能覆盖更复杂的攻击面。

对于企业安全团队而言,这意味着什么?传统渗透测试和代码审计的周期可能大幅压缩。更重要的是,人类研究员得以从繁琐的初筛工作中解放,专注于漏洞的深层利用分析和修复方案设计。人机协作的边界正在重新划定。