MDASH 多模型智能体扫描框架,突破传统单模型 AI 漏洞扫描模式,依托百余个专业 AI 智能体分工协作,复刻安全团队工作流程,完成全流程漏洞审计工作。该框架可有效削减扫描误报,漏洞识别准确率表现优异,已助力挖掘出多款系统高危漏洞,实现企业级规模化漏洞防御。其核心价值在于将单一模型能力整合为可迭代升级的完整安全系统,推动安全审计迈向多智能体自动化阶段,提升漏洞挖掘效率。目前该技术仍处内部试用与小范围预览阶段,相关实测成果暂无法全面通用。
一、AI漏洞发现:从科研好奇到生产级武器
微软自主代码安全(Autonomous Code Security,简称ACS)团队的组建,源于其对AI在安全领域应用潜力的深刻洞察。该团队核心成员均来自曾在DARPA AI Cyber Challenge(AIxCC)中夺冠的“Team Atlanta”团队,凭借出色的技术实力斩获2950万美元奖金。他们研发的自主网络推理系统,能够在复杂开源项目中自主发现并修复真实漏洞,这些宝贵经验被直接迁移应用于MDASH的研发过程中。
微软之所以全力打造此类系统,核心源于三大现实需求:
首先,代码基数庞大且高度私有化。Windows、Hyper-V、Azure及周边驱动与服务生态,均属于未纳入任何主流大模型训练语料的专有代码。其中涉及的内核调用约定、IRP与锁不变性、IPC信任边界等专业概念,单纯依靠模式匹配难以破解,必须依托真正的逻辑推理能力才能实现深度解析。
其次,DevSecOps规模化落地面临挑战。每一个漏洞发现都需明确责任主体、完善三角验证流程,并最终在Patch Tuesday中落地修复。若工具产生误报噪声,不仅无法提升效率,反而会成为全公司安全工作的沉重负担。
第三,安全防护目标价值极高。Windows系统服务全球数十亿用户,一个高危漏洞被利用的代价极高,而误报带来的人力、时间成本同样令人震惊。
正是在这样的背景下,ACS团队与微软Windows攻击研究与防护(WARP)团队深度协作,打造出MDASH这一成熟的智能体漏洞发现与修复流水线。MDASH的核心理念清晰而深刻:“模型仅为输入,系统方为产品”。它打破了单一模型的局限,通过多模型协同、智能体分工协作与可扩展插件机制,实现了漏洞发现、验证与证明的端到端闭环。
二、MDASH架构详解:多模型智能体扫描马具
MDASH的全称是微软安全多模型智能体扫描马具(Microsoft Security’s multi-model agentic scanning harness),其本质是一套结构化的漏洞发现与修复流水线,输入为目标代码库,输出则是经过严格验证、可提供完整证明的漏洞报告。
整个系统流程分为五个核心阶段,环环相扣、层层递进:
1) Prepare阶段(准备阶段):导入目标源代码,构建语言感知索引,深入分析代码历史提交记录,绘制完整的攻击面图谱与威胁模型,为后续扫描工作奠定坚实基础。
2) Scan阶段(扫描阶段):由专门的审计智能体在候选代码路径上开展深度扫描,输出包含假设前提与相关证据的候选漏洞发现。
3) Validate阶段(验证阶段):由第二批“辩论者”智能体,对每个候选发现的可达性与可利用性展开正反双向论证,确保发现的准确性。
4) Dedup阶段(去重阶段):对语义等价的漏洞发现进行合并处理,例如基于补丁特征进行分组,避免重复上报与无效工作。
5) Prove阶段(证明阶段):针对可构造触发输入的漏洞类型,动态验证前提条件,并生成对应的触发输入(如在C/C++环境中应用ASan工具),完成漏洞的最终验证。
MDASH能够实现高效精准的漏洞发现,关键在于其具备三大核心特性:
第一,多模型集成与协同机制。系统配置了前沿模型作为重型推理器、蒸馏模型作为高量程辩论智能体,以及独立的SOTA模型作为反方论证智能体。模型之间的分歧本身就是重要信号——若审计智能体标记可疑漏洞,而辩论智能体无法提出有效反驳,该发现的可信度将大幅提升。
第二,高度专业化的智能体分工。MDASH搭载了超过100个专业化智能体,审计智能体、辩论智能体与证明智能体各司其职、互不替代。每个阶段的智能体都具备独立的角色定位、提示策略、工具集合及停止条件,摒弃了“单一提示解决所有问题”的低效模式。通过深度研究历史CVE漏洞及其修复补丁,构建可独立工作的智能体,最终将各环节结果整合为完整、规范的漏洞报告。
第三,端到端流水线与可扩展插件体系。流水线流程固化,同时开放灵活的插件接口,领域专家可注入模型自身无法感知的专业上下文,例如内核调用约定、IRP规则、锁不变性、IPC信任边界或编解码器状态机等。文中特别提及的CLFS证明插件,能够根据候选漏洞发现自动构造触发日志文件,充分彰显了插件机制的核心价值。此外,Windows团队还可根据需求扩展自定义代码分析数据库或CodeQL查询功能。
这种架构设计赋予了MDASH极强的可移植性:当新的AI模型问世时,只需调整系统配置即可完成A/B测试,客户此前投入的范围文件、插件、配置及校准参数均可无缝继承。这使得MDASH能够持续“紧跟AI技术前沿”,无需每半年进行一次系统重构,有效降低了维护成本与技术迭代门槛。
三、实战验证:StorageDrive与Patch Tuesday 16 CVE
为全面验证MDASH的实际性能,团队首先选择了未公开的私有代码——StorageDrive进行测试。该代码是微软面试中用于考察进攻性安全研究员能力的样本驱动程序,内部故意植入了21个漏洞,涵盖内核UAF、整数处理异常、IOCTL验证缺失及锁错误等多种典型漏洞类型。
测试结果令人瞩目:在默认配置下,MDASH成功100%识别出全部21个漏洞,且实现零误报。这一成果表明,其推理能力与漏洞发现水平已接近专业进攻性安全研究员的水准。
随后,MDASH被正式应用于Windows最核心的网络栈安全审计工作。在2026年5月12日的Patch Tuesday中,共有16个CVE漏洞由MDASH辅助发现,覆盖Windows网络栈及相邻服务,其中10个为内核态漏洞、6个为用户态漏洞,且大部分可通过网络无凭证触发,潜在风险极高。
以下为部分关键漏洞详情(基于微软官方披露信息):
CVE-2026-33827:tcpip.sys中可通过SSRR IPv4包触发的远程未认证UAF漏洞,属于Critical级远程代码执行漏洞。
CVE-2026-33824:ikeext.dll中未认证IKEv2 SA_INIT + 分片导致的double-free漏洞,可进一步实现LocalSystem权限远程代码执行,属于Critical级漏洞。
其他漏洞包括NULL解引用、拒绝服务(DoS)、信息泄露、安全特性绕过等,涉及tcpip.sys、http.sys、netlogon.dll、dnsapi.dll等Windows核心组件。
四、深度剖析两个典型案例
案例一:CVE-2026-33827 —— tcpip.sys远程未认证UAF(SSRR)
该漏洞源于Ipv4pReceiveRoutingHeader函数中Path对象的引用计数管理疏漏。该函数在完成路由查找后,释放了对Path对象的唯一拥有引用,但在后续处理Strict Source and Record Route(SSRR)选项时,又违规复用了该指针。由于并发路径缓存清理、显式刷新及接口状态垃圾回收等操作,可能在指针释放后立即回收该对象,导致后续对该指针的解引用形成经典的内核级Use-After-Free漏洞。
该漏洞可通过精心构造的携带SSRR选项的IPv4包远程触发,且处于网络栈高IRQL环境中。其利用难度主要在于需要抢占狭窄的时间窗口并实现分配器复用,但远程可达性与内核上下文的双重属性,使其被评定为Critical级漏洞。
单模型系统为何会错过此类漏洞?核心原因在于,单一模型难以跟踪跨非平凡控制流的引用所有权,也无法高效完成跨文件模式对比。而MDASH通过多阶段智能体协作、跨文件逻辑推理及辩论验证机制,成功捕捉到了这种时序依赖关系与逻辑不一致性,实现了漏洞的精准识别。
案例二:CVE-2026-33824 —— IKEv2 double-free导致LocalSystem RCE
该漏洞位于IKEEXT服务(负责IPsec密钥交换),所有配置为IKEv2响应者的主机(如RRAS VPN、DirectAccess等)均可能受其影响。攻击者只需发送特定的IKE_SA_INIT消息(携带Microsoft IPsec Security Realm Id),随后发送单个分片,即可触发16字节堆分配的双重释放漏洞。
由于IKEEXT服务以LocalSystem权限在svchost.exe中运行,该漏洞构成了前认证远程代码执行路径。其根源在于浅拷贝(flat memcpy)引发的别名生命周期异常,该问题横跨六个源文件,排查难度极大。
单模型的局限性在此凸显:此类漏洞需要通过跨文件模式对比,才能发现正确处理逻辑与错误处理逻辑的差异。而MDASH的审计智能体专门针对此类跨文件对比场景设计,在验证阶段还会通过交叉质询机制,进一步验证漏洞的真实性与可利用性,有效规避了单模型的认知盲区。
这两个案例充分彰显了MDASH超越单一模型的核心优势:它能够高效处理复杂控制流、并发模型、跨文件别名分析及外部触发条件组合等各类复杂场景,真正实现了“精准发现、有效验证”的核心目标。
五、能力基准:历史召回与CyberGym顶级成绩
MDASH不仅在新增代码审计中表现突出,在历史漏洞召回测试中同样展现出强劲实力:
clfs.sys:对过去五年28个MSRC确认的漏洞案例,召回率高达96%。
tcpip.sys:对过去五年7个MSRC确认的漏洞案例,召回率达到100%。
这些数据极具参考价值——MSRC案例均为真实被利用、需紧急修复的“实战级漏洞”,96%的召回率意味着MDASH能够精准捕捉那些真正“影响重大”的漏洞,为安全防御提供核心支撑。
在公开基准测试平台CyberGym(包含1507个来自188个OSS-Fuzz项目的真实漏洞复现任务)中,MDASH使用通用可用模型取得了88.45%的成功率,位居排行榜首位,较第二名高出约5个百分点,充分证明了其在行业内的领先水平。
失败案例分析显示,剩余约12%的未成功案例,主要源于漏洞描述模糊或fuzzer格式不兼容,这也进一步印证了高质量上下文与专业插件的重要性。
CLFS证明插件便是典型范例,它让模型无需内化微软特定文件系统的不变性规则,而是通过插件驱动路径至sink点,从而生成可证明、可修复的漏洞发现,大幅提升了漏洞发现的效率与准确性。
六、行业启示:智能体系统才是核心竞争力
MDASH的推出,向网络安全行业传递出三个核心信号,为行业发展提供了重要启示:
1) 复杂漏洞发现需要组合式能力。诸如tcpip.sys竞态UAF、IKEEXT别名链这类复杂漏洞,无法通过单一函数提示实现精准捕捉,必须依托跨文件模式对比、多步可达性分析、智能体辩论验证及端到端证明等组合能力。MDASH的实践充分证明,“围绕模型构建的扫描马具”,才是实现高效漏洞发现的核心关键。
2) 验证环节决定漏洞发现的实际价值。仅标记候选漏洞,只会造成漏洞排查的三角积压,无法转化为实际的安全防御能力。MDASH通过辩论、去重、证明的完整流水线,确保输出的每一个漏洞发现都是高质量、可行动的,真正为安全修复工作提供有效支撑。
3) 系统化设计实现长期耐用性,高效吸收模型进步。新模型上线时,只需通过配置切换即可完成集成,客户此前在范围文件、插件、配置等方面的历史投入能够持续增值。这一特性在AI模型快速迭代的当下尤为宝贵,能够帮助企业降低技术迭代成本,实现安全能力的持续提升。
对防御者而言,在评估AI漏洞检测工具时,不应局限于“使用了哪个模型”,更应关注“如何使用模型”;不应只看重当前性能,更应考量“当下一个更优模型问世时,系统能够保留多少既有价值”。这一评估标准,将成为未来AI安全工具选型的核心依据。
七、未来展望与建议
目前,MDASH已在微软安全工程团队内部投入使用,并向小范围客户开放有限制的私人预览服务,感兴趣的企业可通过微软官方网站提交报名申请,提前体验其核心能力。
从行业发展的广阔视角来看,MDASH的问世标志着“智能体安全(Agentic Security)”时代的崛起——智能体不再是单纯的辅助工具,而是能够自主规划、辩论、验证与证明的“虚拟安全工程师”。未来,我们有望看到更多企业将此类智能体系统集成到CI/CD流水线中,实现“代码提交即自动安全审计”,从源头提升代码安全质量,构建常态化的安全防御体系。
与此同时,AI安全工具的广泛应用也带来了新的行业挑战:如何有效管理模型幻觉,避免误报与漏报;如何确保插件自身的安全性,防止引入新的安全风险;如何在高敏感代码库审计中,平衡数据隐私与审计深度。这些问题,需要整个网络安全行业共同探索、协同解决。
几点建议,供行业同仁参考:
安全团队应密切关注MDASH的预览动态,结合自身业务场景,评估其在自有代码库中的适配性,积极探索AI技术在安全防御中的实际应用。
科研工作者应深入研究多智能体协作范式,这一技术方向将成为下一代安全工具的核心基础,有望推动漏洞发现技术实现新的突破。
开发者在编写代码时,应更加注重内存生命周期管理、对象所有权明确化及并发安全设计,从源头降低漏洞产生的概率,为后续安全审计工作减轻负担。
结语
微软MDASH的正式亮相,正式宣告AI漏洞发现时代迈入生产级应用新阶段。它以16个真实CVE漏洞发现、StorageDrive测试的完美表现及公开基准的顶级成绩,向行业充分证明:当多模型协同、智能体分工、专业插件与严谨工程设计深度融合时,AI能够真正成为防御者的“超级力量”,大幅提升漏洞发现的速度与精度。
未来,网络攻防对抗将愈发激烈,但防御方首次在漏洞发现速度上获得了“AI速度”的加持,打破了长期以来攻防失衡的局面。让我们共同期待更多此类技术创新,携手推动网络空间走向更安全、更可靠的未来。
