Ponad 100 agentów AI tropi luki w Windows. Microsoft ujawnił skuteczność systemu MDASH

Microsoft zaprezentował nowy system bezpieczeństwa oparty na sztucznej inteligencji, który według firmy potrafi automatycznie wykrywać i analizować złożone podatności w kodzie Windows. Platforma o nazwie kodowej MDASH znalazła 16 nowych luk, w tym cztery krytyczne błędy umożliwiające zdalne wykonanie kodu. Firma przekonuje, że to początek nowej ery agentowej cyberobrony, w której kluczowe znaczenie ma nie pojedynczy model AI, lecz cały ekosystem współpracujących agentów.

Nowy system opracowany przez zespół Autonomous Code Security w firmie Microsoft wykorzystuje ponad 100 wyspecjalizowanych agentów AI. Każdy odpowiada za inne zadanie, od analizy kodu i modelowania zagrożeń, po weryfikację podatności oraz tworzenie scenariuszy exploitów.

Microsoft podkreśla, że MDASH nie jest pojedynczym modelem językowym. To wieloetapowy system, który łączy różne modele sztucznej inteligencji, zarówno duże modele klasy frontier, jak i mniejsze modele destylowane. Poszczególni agenci analizują wyniki innych komponentów, prowadzą między sobą „debaty” i próbują podważyć znalezione podatności. Dopiero po przejściu całego procesu luka trafia do raportu.

Według Microsoftu takie podejście pozwoliło osiągnąć 88,45% skuteczności w benchmarku CyberGym obejmującym 1 507 rzeczywistych podatności. To wynik o około 5 punktów procentowych wyższy od kolejnego systemu w rankingu.

Firma podała również, że MDASH wykrył wszystkie 21 celowo ukrytych podatności w prywatnym sterowniku testowym StorageDrive. Co istotne, system miał nie wygenerować ani jednego fałszywego alarmu.

Krytyczne luki w tcpip.sys i ikeext.dll

Najpoważniejsze odkrycia dotyczą komponentów sieciowych Windows. Wśród nich znalazły się błędy w sterowniku tcpip.sys oraz usłudze ikeext.dll odpowiedzialnej za obsługę IKEv2 i IPsec.

Jedna z podatności, oznaczona jako CVE-2026-33827, dotyczyła błędu use-after-free w obsłudze pakietów IPv4 z opcją SSRR. Według Microsoftu podatność mogła umożliwić zdalne wykonanie kodu w jądrze systemu bez uwierzytelnienia.

Druga krytyczna luka, CVE-2026-33824, występowała w usłudze IKEEXT działającej z uprawnieniami LocalSystem. Atakujący mógł wykorzystać specjalnie spreparowane pakiety IKEv2 do wywołania podwójnego zwolnienia pamięci i potencjalnego przejęcia kontroli nad systemem.

Łącznie Microsoft ujawnił 16 podatności wykrytych przy użyciu MDASH. Dziesięć z nich dotyczyło komponentów działających w trybie jądra systemu, a większość mogła zostać wykorzystana zdalnie bez podawania danych logowania.

AI przyspiesza programowanie, ale cyberbezpieczeństwo nie nadąża za tempem zmian

Agentowa AI zamiast pojedynczego modelu

Najciekawszy wniosek z prezentacji Microsoftu dotyczy jednak samej architektury systemu. Firma wyraźnie sugeruje, że przewaga konkurencyjna w cyberbezpieczeństwie nie będzie wynikała z dostępu do jednego „najlepszego” modelu AI, lecz z jakości całego procesu wokół niego.

To ważna zmiana względem dominującej dziś narracji wokół dużych modeli językowych. Microsoft twierdzi, że kluczowe stają się mechanizmy walidacji, deduplikacji, testowania exploitów oraz specjalistyczne wtyczki rozumiejące konkretne elementy systemów operacyjnych.

W praktyce oznacza to, że przyszłe narzędzia bezpieczeństwa będą coraz bardziej przypominały autonomiczne zespoły analityków niż pojedyncze chatboty analizujące kod.

Microsoft rozpoczął już ograniczone testy MDASH z wybranymi klientami korporacyjnymi. Firma nie ujawnia jednak, kiedy rozwiązanie mogłoby trafić do szerszej oferty komercyjnej.