MDASH: el descubrimiento de vulnerabilidades con agentes de IA llega a la defensa en producción
El arnés MDASH de Microsoft orquesta más de 100 agentes de IA especializados para hallar, debatir y probar fallos de kernel. Reveló 16 CVE de Windows y logró 88,45 % en CyberGym: la señal defensiva y la de doble uso.
¿De qué se trata?
MDASH —el «multi-model agentic scanning harness» de Microsoft Security— es un sistema de IA que audita código fuente en busca de vulnerabilidades explotables. El equipo Autonomous Code Security de Microsoft lo presentó el 12 de mayo de 2026 con un resultado concreto: 16 vulnerabilidades en la pila de red y autenticación de Windows, cuatro de ellas críticas, todas incluidas en el Patch Tuesday de ese día. En Microsoft Build, el 2 de junio de 2026, la empresa amplió la vista previa privada e integró los hallazgos de MDASH en el portal de Defender.
Lo interesante de MDASH no es un fallo aislado. Es la afirmación, respaldada por cifras, de que el descubrimiento de vulnerabilidades impulsado por IA ha pasado de la demostración de investigación a la ingeniería defensiva de producción, y la lección de arquitectura que Microsoft extrae: la ventaja duradera reside en el sistema que rodea al modelo, no en un modelo concreto.
Cómo funciona
MDASH es una tubería por etapas, no un simple prompt. Microsoft lo describe ejecutando más de 100 agentes especializados sobre un conjunto de modelos de vanguardia y modelos destilados, cada etapa con su propio rol, herramientas y criterios de parada.
Una etapa Prepare ingiere el objetivo, construye índices adaptados al lenguaje y reconstruye la superficie de ataque analizando los commits anteriores. Una etapa Scan pasa agentes auditores por las rutas de código candidatas, emitiendo hallazgos con hipótesis y evidencia. Una etapa Validate introduce agentes contradictores que argumentan a favor y en contra de la accesibilidad y explotabilidad de cada hallazgo: el desacuerdo entre modelos se trata como señal y no como ruido. Una etapa Dedupe fusiona hallazgos semánticamente equivalentes, y una etapa Prove construye y ejecuta entradas desencadenantes cuando la clase de fallo lo permite, de modo que un hallazgo candidato se convierte en uno demostrado y no en una simple línea de backlog.
Dos propiedades hacen la mayor parte del trabajo. Primero, un conjunto de modelos diversos: un razonador potente para la auditoría, modelos destilados más económicos para las pasadas de debate de alto volumen y un segundo modelo de vanguardia independiente como contrapunto. Segundo, la extensibilidad mediante complementos de dominio, por ejemplo un complemento de prueba específico de un componente que codifica invariantes de sistema de archivos que los modelos base no pueden inferir por sí solos. Como la focalización, la validación, la deduplicación y la prueba son independientes del modelo por diseño, cambiar a un modelo más nuevo es una cuestión de configuración, no de reescritura.
Por qué importa
La evidencia publicada por Microsoft es inusualmente verificable para este tipo de anuncio. Sobre un controlador de dispositivo privado sembrado con 21 fallos inyectados deliberadamente —código que nunca apareció en los datos de entrenamiento de ningún modelo— MDASH reportó los 21, sin falsos positivos en esa ejecución. En pruebas retrospectivas recuperó el 96 % de cinco años de casos confirmados por el Security Response Center en el componente de registro CLFS y el 100 % de los siete casos de la pila TCP/IP. En el benchmark público CyberGym, con 1.507 tareas de reproducción reales, alcanzó el 88,45 %, la mejor puntuación publicada en el lanzamiento y unos cinco puntos por delante de la siguiente entrada; en Build, Microsoft indicó que esa cifra había superado el 96 %.
La ventaja defensiva es evidente: cinco años de los fallos que de verdad importaban, reencontrados por un sistema capaz también de probarlos. La tensión de doble uso es igual de real. Los dos fallos que Microsoft detalló —un use-after-free remoto sin autenticación en la ruta de recepción IPv4 de Windows y un double-free previo a la autenticación en el servicio de gestión de claves IKEv2, accesible por UDP como LocalSystem— pertenecen precisamente a la clase de fallos profundos, entre archivos y sensibles a la concurrencia que los escáneres de un solo modelo pasan por alto y que los investigadores ofensivos experimentados valoran. Un arnés que los encuentra a escala es un activo defensivo cuando son los defensores quienes lo ejecutan primero, y un modelo de amenaza cuando esa misma capacidad se difunde. Microsoft retuvo deliberadamente los detalles de explotación de ambos, en línea con la divulgación responsable; ambos estaban parcheados antes de la publicación.
Defensas
Para los defensores, las conclusiones prácticas son concretas. Evalúe las herramientas de descubrimiento de vulnerabilidades por lo que hacen con un modelo —validación, deduplicación, construcción de prueba— y no por el modelo que usan; un escáner que se detiene en los hallazgos candidatos solo desplaza la carga de triaje. Fundamente cualquier afirmación de capacidad en datos que el modelo no haya visto: objetivos privados sembrados y el recall retrospectivo sobre su propia base de casos históricos son mucho más informativos que los rankings públicos por sí solos. Convierta la prueba de accesibilidad en el umbral de aceptación, pues los hallazgos no probados inflan el backlog sin reducir el riesgo.
Asuma que la paridad ofensiva se acerca y acorte la ventana que aprovecha: priorice las clases de fallos que estos sistemas mejor encuentran —defectos de seguridad de memoria y de concurrencia en rutas accesibles desde la red y sin autenticación— con lenguajes de memoria segura, fuzzing y lógica de reensamblado endurecida. Por último, tenga presente el riesgo sistémico que señalaron observadores externos: una capa de orquestación que coordina más de 100 agentes a través de identidad, nube y código tiene un amplio radio de impacto; la gobernanza y las fronteras de permisos en torno a un arnés así deben diseñarse antes del despliegue, no añadirse tras un incidente.
Estado
Las vulnerabilidades siguientes están entre los hallazgos críticos que Microsoft atribuyó a MDASH en su divulgación del 12 de mayo de 2026. Aquí figuran solo como referencias; todas estaban parcheadas antes de la publicación.
| Componente | Naturaleza | Referencia | Estado |
|---|---|---|---|
| Windows TCP/IP (recepción IPv4) | Use-after-free remoto sin auten. → RCE | CVE-2026-33827 | Parcheado |
| Servicio de claves IKEv2 de Windows | Double-free previo a auten. → RCE LocalSystem | CVE-2026-33824 | Parcheado |
| Windows Netlogon (CLDAP) | Desbordamiento de pila sin auten. → RCE | CVE-2026-41089 | Parcheado |
| Cliente DNS de Windows | Respuesta UDP manipulada → desbordamiento de heap → RCE | CVE-2026-41096 | Parcheado |
MDASH sigue en vista previa privada limitada (ampliada en Build 2026). Fuente principal: Microsoft Security Blog, publicado el 12 de mayo de 2026, actualizado el 3 de junio de 2026.
Sources
- → https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-microsofts-new-multi-model-agentic-security-system-tops-leading-industry-benchmark/
- → https://www.microsoft.com/en-us/security/blog/2026/06/02/microsoft-build-2026-securing-code-agents-and-models-across-the-development-lifecycle/
- → https://www.infoq.com/news/2026/05/microsoft-mdash/
- → https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html