Microsoft sagt, ein KI-System mit mehr als 100 Agenten habe 16 Windows-Schwachstellen gefunden

Microsoft bringt agentische KI in die defensive Sicherheit

Microsoft sagt, es habe ein KI-gestütztes System zur Schwachstellensuche entwickelt, das nicht auf einem einzelnen Modell beruht, sondern auf einem koordinierten Schwarm spezialisierter Agenten. Das System namens MDASH, kurz für Multi-Model Agentic Scanning Harness, nutzt mehr als 100 Agenten, um Software zu analysieren, über mögliche Fehler zu diskutieren und zu prüfen, ob vermutete Bugs tatsächlich ausgenutzt werden können.

Laut Microsoft hat der Ansatz bereits in einer der am schwersten zu prüfenden Umgebungen Ergebnisse geliefert: dem eigenen proprietären Software-Stack. Am Patch Tuesday, dem 12. Mai 2026, meldete das Unternehmen 16 Windows-Schwachstellen, die MDASH in Netzwerk- und Authentifizierungskomponenten entdeckt hatte. Vier wurden als kritisch eingestuft. Zu den betroffenen Komponenten gehörten die Kernel-Komponente

tcpip.sys, der IKEv2-Dienst in

ikeext.dll,

netlogon.dll und

dnsapi.dll.

Eine Pipeline, die auf Widerspruch ausgelegt ist

Die von Microsoft beschriebene Architektur ist ebenso wichtig wie die Anzahl der Schwachstellen. MDASH arbeitet in vier Stufen. Zuerst analysiert es den Quellcode und kartiert die Angriffsfläche. Dann scannt eine Gruppe von Auditor-Agenten nach verdächtigen Mustern oder riskanten Codepfaden. In der dritten Phase argumentiert eine weitere Gruppe von Agenten, als Debattierer beschrieben, dafür und dagegen, ob jeder Fund wahrscheinlich echt und ausnutzbar ist. Schließlich versuchen sogenannte Evidence-Leader-Agenten, das Problem mit bestimmten Eingaben auszulösen.

Diese Struktur soll ein bekanntes Problem automatisierter Sicherheitsscans lösen: False Positives. Sicherheitstools können eine große Zahl plausibler, aber wenig wertvoller Warnungen erzeugen. Indem spezialisierte Agenten sich gegenseitig herausfordern, bevor sie zu Ausnutzungsversuchen übergehen, präsentiert Microsoft MDASH als System, das Rauschen filtert, statt es einfach zu verstärken.

Warum Microsoft diesen Ansatz für anders hält

Eines von Microsofts Argumenten ist, dass der eigene interne Codebestand ein besonders nützlicher Testfall ist. Windows, Hyper-V und Azure sind proprietär und daher nicht in öffentlichen Trainingsdaten enthalten. Das bedeutet, dass das System nicht einfach aus Open-Source-Quellen auswendig gelernte Beispiele wiedergeben kann. Wenn es echte Probleme in geschlossenem Code findet, kann Microsoft plausibel behaupten, dass das System analysiert und nicht bloß abruft.

Das Unternehmen sagt außerdem, die Pipeline sei modellunabhängig. Wenn ein neues Modell verfügbar wird, kann es in die Konfiguration eingetauscht werden, ohne das gesamte System neu zu entwerfen. Experten können auch Plugins mit domänenspezifischem Wissen hinzufügen, etwa zu Kernel-Calling-Konventionen oder Vertrauensgrenzen in der Interprozesskommunikation, sodass das System mit technischem Kontext arbeiten kann, den ein allgemeines Basismodell nicht von sich aus besitzt.

Was MDASH gefunden hat

Das Unternehmen sagt, MDASH habe 16 neue Schwachstellen im Netzwerk- und Authentifizierungs-Stack von Windows aufgedeckt. Zehn der 16 betreffen den Kernel-Modus, und die meisten sind ohne Authentifizierung über das Netzwerk erreichbar. Diese Eigenschaften machen die Funde schwerwiegender als eine gewöhnliche Bug-Liste. Kernel-Schwachstellen können weite Teile des Systems beeinträchtigen, während entfernte Netzwerk-Erreichbarkeit den Wert eines Exploits für Angreifer erhöht.

Microsoft stufte vier der entdeckten Schwachstellen als kritisch ein. Sicherheitstechnisch ist das das stärkste praktische Argument für den Nutzen des Systems. Ein Benchmark-Wert kann Aufmerksamkeit erzeugen, aber kritische Fehler in Produktionssoftware zählen mehr.

Benchmark-Führung, mit Vorbehalten

Microsoft sagt, MDASH habe im öffentlichen CyberGym-Benchmark 88,45 % erreicht, das bislang höchste berichtete Ergebnis. Das verschafft dem Unternehmen einen messbaren Anspruch auf technische Führungsrolle in dieser entstehenden Kategorie agentischer Sicherheitstools. Der Vergleich ist jedoch nicht ganz unkompliziert. Microsoft hat die genauen Modelle, die das System antreiben, nicht offengelegt, und Benchmark-Bedingungen lassen sich nicht immer direkt auf die Komplexität realer Softwareumgebungen übertragen.

Dennoch stützt das Ergebnis einen größeren Trend. Die Sicherheitsforschung bewegt sich weg von einmaligen Prompts hin zu orchestrierten Systemen, in denen mehrere Modelle oder Agenten Arbeit aufteilen, sich gegenseitig kritisieren und Hypothesen iterativ testen. MDASH ist Teil dieses Wandels, und sein Design legt nahe, dass Microsoft Debatte und Verifikation und nicht nur Code-Zusammenfassungen als Schlüssel zu praktischer automatisierter Sicherheitsarbeit sieht.

Warum das über Microsoft hinaus wichtig ist

Wenn Microsofts Darstellung Bestand hat, bietet MDASH einen Vorgeschmack darauf, wie sich Unternehmenssicherheit verändern könnte. Große Anbieter pflegen enorme Codebasen, die für menschliche Teams nur schwer vollständig zu prüfen sind. Agentische Systeme, die Funde kontinuierlich scannen, anfechten und validieren können, könnten zu einem Kraftmultiplikator für interne Sicherheitsprogramme werden, vor allem dort, wo proprietärer Code eine starke Abhängigkeit von auf öffentlichen Daten trainierten Modellen verhindert.

Es gibt auch eine operative Konsequenz. Weil das System modellunabhängig ist, könnten Verbesserungen der zugrunde liegenden Modelle sich schnell aufsummieren. Ein besseres Sprachmodell müsste den Workflow nicht ersetzen; es könnte sich in eine etablierte Pipeline einfügen, die bereits weiß, wie man Aufgaben verteilt und Ausgaben überprüft.

Vorläufig ist Microsofts stärkster Beleg konkret: 16 gemeldete Windows-Schwachstellen, darunter vier kritische Fehler, entdeckt von einem Multi-Agenten-System, das laut Unternehmen in der Lage ist, über Closed-Source-Software zu schlussfolgern. Das Unternehmen hat nicht alle Implementierungsdetails offengelegt, und die Branche wird mehr unabhängige Validierung wollen. Doch das Signal ist klar genug. Die Jagd nach KI-Schwachstellen bewegt sich von der Demo-Neuheit hin zu produktionsreifer Sicherheitsentwicklung.

Dieser Artikel basiert auf einer Berichterstattung von The Decoder. Zum Originalartikel.