微软称，一个拥有100多个代理的AI系统发现了16个Windows漏洞

微软正将代理式AI推进到防御安全领域

微软表示，它已经构建了一套由AI驱动的漏洞发现系统，这套系统并不依赖单一模型，而是依靠一组协调运作的专门代理。该系统名为MDASH，全称为Multi-Model Agentic Scanning Harness，使用100多个代理来分析软件、讨论潜在缺陷，并尝试验证可疑漏洞是否真的能够被利用。

据微软称，这种方法已经在最难审计的环境之一中取得了成果，也就是其自身的专有软件栈。在2026年5月12日的Patch Tuesday，微软报告称，MDASH在网络和身份验证组件中发现了16个Windows漏洞。其中4个被归类为严重。受影响的组件包括

tcpip.sys内核组件、

ikeext.dll中的IKEv2服务、

netlogon.dll和

dnsapi.dll。

一个为争论而设计的流水线

微软所描述的架构与漏洞数量同样重要。MDASH分为四个阶段运行。首先，它分析源代码并绘制攻击面。接着，一组审计代理扫描可疑模式或高风险代码路径。第三阶段，另一组被描述为辩论者的代理，会就每项发现是否大概率真实且可被利用进行正反论证。最后，所谓的Evidence Leader代理会尝试使用特定输入触发问题。

这种结构旨在解决自动化安全扫描中的一个熟悉问题：误报。安全工具可能产生大量看似合理、但价值不高的警报。通过强制专门代理在进入利用尝试之前相互质疑对方的主张，微软将MDASH呈现为一个过滤噪声而不是简单放大噪声的系统。

微软为何认为这种方法不同

微软的一个论点是，其内部代码库本身就是一个特别有价值的测试场景。Windows、Hyper-V和Azure都属于专有产品，因此不在公开训练数据中。这意味着系统不能只是复述从开源仓库中记住的示例。如果它在封闭代码中发现了真实问题，微软就可以合理地声称，这个系统执行的是分析，而不是检索。

公司还表示，这一流水线是与模型无关的。当有新的模型可用时，可以直接替换进配置，而无需重新设计整个系统。专家还可以添加包含领域专门知识的插件，例如内核调用约定或进程间通信中的信任边界，使系统能够利用通用基础模型本来不具备的技术上下文运行。

MDASH发现了什么

公司称，MDASH在Windows的网络和身份验证栈中发现了16个新漏洞。其中10个影响内核模式，而且大多数可以在未经身份验证的情况下通过网络访问。这些特征使这些发现比普通的漏洞清单更严重。内核漏洞可能对整个系统造成广泛影响，而远程网络可达性则提高了攻击者利用漏洞的价值。

微软将其中4个发现的缺陷归类为严重。从安全角度看，这就是该系统实用性的最强有力证据。基准分数可能吸引注意，但生产软件中的严重漏洞更重要。

基准领先，但有保留

微软表示，MDASH在公开的CyberGym基准上获得了88.45%的成绩，这是目前报告过的最高结果。这让公司在这一新兴的代理式安全工具类别中拥有了可量化的技术领先主张。但这种比较并不完全直接。微软没有披露驱动该系统的确切模型，而基准测试条件也并不总能直接转化为真实世界软件环境的复杂性。

即便如此，这一结果仍支持一个更广泛的趋势。安全研究正在从单次提示转向编排式系统，在这些系统中，多个模型或代理分工协作、彼此批评并迭代测试假设。MDASH正是这一转变的一部分，其设计表明，微软认为争论与验证，而不仅仅是代码摘要，才是实用自动化安全工作的关键。

这为何不只关乎微软

如果微软的说法成立，MDASH为企业安全可能如何变化提供了预览。大型厂商维护着庞大的代码库，人工团队很难全面审计。能够持续扫描、质疑并验证发现的代理式系统，可能成为内部安全项目的放大器，尤其是在专有代码使其难以严重依赖公开数据训练模型的情况下。

这也带来了运营层面的含义。由于该系统与模型无关，底层模型的改进可能会迅速叠加。更好的语言模型不需要取代工作流；它可以接入一个已经知道如何分配任务和验证输出的既有流水线。

目前，微软最有力的证据是具体的：16个已报告的Windows漏洞，其中包括4个严重缺陷，均由一个多代理系统发现，而该系统据称能够推理封闭源软件。公司尚未披露全部实现细节，业界也会希望看到更多独立验证。但信号已经足够明确。AI漏洞猎捕正在从演示阶段的新奇事物，走向生产级安全工程。

本文基于The Decoder的报道。阅读原文。