系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

MDASH:AI 智能体漏洞挖掘进入生产级防御

微软 MDASH 编排 100 多个专用 AI 智能体来发现、辩论并验证内核漏洞。它揭示了 16 个 Windows CVE,并在 CyberGym 上取得 88.45% 的成绩——既是防御信号,也是双重用途信号。

2026-07-04 // 7 min affects: windows-kernel, proprietary-codebases, sast-pipelines

这是什么?

MDASH 是微软安全团队的”多模型智能体扫描框架”(multi-model agentic scanning harness),一套审计源代码、寻找可利用漏洞的 AI 系统。微软的自主代码安全(Autonomous Code Security)团队于 2026 年 5 月 12 日公布了它,并附上一个具体成果:在 Windows 网络与认证栈中发现 16 个漏洞,其中四个为严重级别,全部随当天的 Patch Tuesday 一并修复。2026 年 6 月 2 日的 Microsoft Build 大会上,公司扩大了私有预览,并将 MDASH 的结果接入 Defender 门户。

MDASH 值得关注的并非某个单独的漏洞,而是一个有数据支撑的论断:由 AI 驱动的漏洞挖掘已从研究演示跨入生产级防御工程;以及微软由此得出的架构教训——持久的优势在于模型周围的系统,而非任何单一模型。

工作原理

MDASH 是一条分阶段的流水线,而不是单一提示。微软描述它在一组前沿模型与蒸馏模型之上运行 100 多个专用智能体,每个阶段都有各自的角色、工具和停止条件。

Prepare(准备)阶段摄入目标,构建语言感知索引,并通过分析历史提交重建攻击面。Scan(扫描)阶段让审计智能体遍历候选代码路径,产出带有假设和证据的发现。Validate(验证)阶段引入”辩论”智能体,就每个发现的可达性与可利用性正反论辩——模型间的分歧被视为信号而非噪声。Dedupe(去重)阶段合并语义等价的发现,Prove(证明)阶段在漏洞类别允许时构造并执行触发输入,使候选发现成为经过验证的发现,而非待处理清单上的一行。

两项特性承担了大部分工作。第一,多样化的模型集成:用于审计的强推理模型、用于高吞吐辩论的低成本蒸馏模型,以及作为独立对照的第二个前沿模型。第二,通过领域插件实现可扩展性——例如针对特定组件的证明插件,用于编码基础模型无法自行推断的文件系统不变量。由于定位、验证、去重和证明在设计上都与模型无关,更换更新的模型只是一次配置变更,而非重写。

为何重要

对于此类公告而言,微软公布的证据异常可验证。在一个私有设备驱动上——其中植入了 21 个刻意注入的漏洞,代码从未出现在任何模型的训练数据中——MDASH 在该次运行中报告了全部 21 个,且无误报。在回溯性基准测试中,它在 CLFS 日志组件里重现了五年内 96% 的安全响应中心确认案例,在 TCP/IP 栈里重现了 7 个案例的 100%。在包含 1,507 个真实复现任务的公开 CyberGym 基准上,它达到 88.45%,为发布时公开榜单的最高分,领先第二名约五个百分点;到 Build 大会时,微软表示该数字已超过 96%。

防御上的收益显而易见:五年里真正要紧的漏洞,被一套同样能加以证明的系统重新找了出来。双重用途的张力同样真实。微软详述的两个漏洞——Windows IPv4 接收路径中的远程未认证释放后使用(use-after-free),以及 IKEv2 密钥服务中可经 UDP 以 LocalSystem 身份触及的认证前双重释放(double-free)——正属于单模型扫描器会漏掉、而资深攻击型研究者所看重的那类深层、跨文件、对并发敏感的漏洞。当防御方率先运行时,能大规模发现这类漏洞的框架是防御资产;而当同样的能力扩散时,它就成了威胁模型。微软刻意未公开两者的利用细节,符合负责任披露原则;二者在发布前均已修复。

防御建议

对防御方而言,可落地的要点很具体。评估 AI 漏洞工具时,看它拿模型来做什么——验证、去重、构造证明——而非它用了哪个模型;止步于候选发现的扫描器只是把分诊负担挪了位置。任何能力主张都应建立在模型未曾见过的数据之上:植入漏洞的私有目标,以及针对你自己历史案例库的回溯性召回,远比单看公开榜单更有参考价值。把可达性证明作为验收门槛,因为未经证明的发现只会膨胀待办而不降低风险。

假定攻击方的对等能力即将到来,并缩短它可利用的窗口:优先处理这类系统最擅长发现的漏洞类别——网络可达、无需认证路径上的内存安全与并发缺陷——采用内存安全语言、模糊测试和加固的重组逻辑。最后,请留意外部评审者指出的系统性风险:一个横跨身份、云和代码、协调 100 多个智能体的编排层,其影响半径很大;围绕此类框架的治理与权限边界必须在部署前设计好,而非在事故之后补救。

状态

下列漏洞属于微软在其 2026 年 5 月 12 日披露中归功于 MDASH 的严重级别发现。此处仅作引用;全部在发布前已修复。

组件性质引用状态
Windows TCP/IP(IPv4 接收)远程未认证释放后使用 → RCECVE-2026-33827已修复
Windows IKEv2 密钥服务认证前双重释放 → LocalSystem RCECVE-2026-33824已修复
Windows Netlogon(CLDAP)未认证栈溢出 → RCECVE-2026-41089已修复
Windows DNS 客户端构造的 UDP 响应 → 堆越界 → RCECVE-2026-41096已修复

MDASH 仍处于有限私有预览阶段(在 Build 2026 上扩大)。主要来源:Microsoft Security Blog,2026 年 5 月 12 日发布,2026 年 6 月 3 日更新。

Sources