微软周二披露,由 Autonomous Code Security 团队(VP Taesoo Kim 领导)构建的代号 MDASH 的 agentic 安全 harness 帮助研究人员在 Windows 网络与认证栈中发现了 16 个新漏洞——其中包括四个 critical 级别的远程代码执行(RCE)缺陷。四个 RCE 中的两个(CVE-2026-40361 与 CVE-2026-40364)被微软评为"更可能被利用"。架构比披露数量更重要:MDASH 协调超过 100 个专门 AI agent,搭配一个由 frontier 模型与蒸馏模型组成的 ensemble,端到端地"发现、辩论、验证"可利用漏洞。Kim 在博文中的措辞很尖锐:"持久优势在于围绕模型的 agentic 系统,而不是任何单一模型。"——这是一个明确的声明:微软在 harness 设计上竞争,而不是在用了哪个模型。
benchmark 数字能有用地分成可信和自报两类。最干净的数据点是 CyberGym,一个由 1,507 个 OSS-Fuzz 项目漏洞构成的外部 benchmark:MDASH 拿到 88.45%,比下一名系统大约领先 5 个百分点。这是对位其他 agentic 漏洞发现器的可比测量。内部数字更响亮但更值得怀疑:在 clfs.sys 五年确认 MSRC 漏洞上的 recall 是 96%,在 tcpip.sys 上是 100%,在一个名为 StorageDrive 的私有 Windows driver 上(故意注入了 21 个漏洞,包括 kernel UAF、整数处理、IOCTL 校验缺口、锁错误)21/21。在已确认 CVE 上的 recall 测的是模型能否重新发现已知 bug,而不是能否发现真正的新 bug;StorageDrive benchmark 虽然控制了训练数据不被污染,本质上仍是微软给自己打分。本次 Patch Tuesday 公布的 16 个新 Windows 漏洞才是最有分量的运行证据——未知 bug,被一个没见过它们的系统在生产代码中找到。
生态层面的读法是:agentic 漏洞发现差不多同时从研究好奇心跨入生产级——在三家前沿实验室:去年 Google DeepMind 的 Big Sleep,上周 OpenAI 的 Daybreak,以及现在微软的 MDASH。三者都把模型 ensemble 与多 agent 辩论 harness 配对,三者都开始对真实代码库产出真正的 CVE。对防御侧 stack 来说,这意味着瓶颈从"AI 能不能找到 bug"变成"AI 能不能通过负责任披露把这些 bug 推得比攻击者找到同一批 bug 更快"。对攻击侧来说,同一种 harness 模式对任何能围绕一个 open-weights 模型接上 100+ 专门 agent 的人都是可用的——微软声称"系统是护城河,模型不是"的同时,也默认承认这一手法可复现。MDASH 本身处于面向客户的有限私有 preview。
对 builder:如果你维护一个有规模的代码库,问题不再是 agentic 安全工具会不会找到你的 bug,而是哪一个先到——你自己的预披露扫描,还是别人的。三件值得跟踪的具体事:(1) CyberGym 榜单的变化,这是与可比系统对位的唯一第三方测量;(2) 微软会不会像 DeepMind 公布 Big Sleep 那样公布 MDASH 的 agent 辩论 transcripts——那才是真正可复现的产物;(3) MDASH 风格的工具会以 commodity 形式出现在 Defender 里,还是以独立 SKU 卖给微软客户。Kim 标记的那个转折——"AI 漏洞发现可以规模化"——会对那些既负担不起自己 agentic harness、又等不起产品化的的小团队冲击最大。