MDASH tackelt complexe Windows-bugs die eerdere AI miste

De ontdekte kwetsbaarheden zijn direct gepatcht als onderdeel van de Patch Tuesday-cohort van mei 2026. Het systeem is ontwikkeld door Microsofts Autonomous Code Security (ACS)-team, dat onder andere bestaat uit experts van 'Team Atlanta' — de winnaars van de prestigieuze DARPA AI Cyber Challenge.

De architectuur: Meer dan 100 gespecialiseerde AI-agenten

In tegenstelling tot traditionele systemen die leunen op een enkel AI-model, hanteert MDASH een gelaagde multi-model aanpak. Het systeem orkestreert meer dan honderd gespecialiseerde AI-agenten die zijn verdeeld over verschillende 'frontier'- en 'distilled'-modellen. 

Deze agenten werken niet onafhankelijk, maar doorlopen een gestructureerde, vijftraps pijplijn om kwetsbaarheden end-to-end bloot te leggen, te bediscussiëren en te bewijzen:

[Prepare] ➔ [Scan] ➔ [Validate] ➔ [Dedup] ➔ [Prove]
Prepare: Analyseert de broncode en historische commits om het aanvalsoppervlak en dreigingsmodellen (threat models) in kaart te brengen.

Scan: Gespecialiseerde auditor-agenten scannen kandidaat-codepaden en formuleren hypotheses over mogelijke bugs.

Validate: Een tweede cohort van agenten (debaters) voert een interne discussie over de daadwerkelijke bereikbaarheid en misbruikbaarheid van de gevonden bug om ruis te elimineren.

Dedup: Voegt semantisch equivalente bevindingen (zoals overlappende patches) samen.

Prove: Construeert en voert autonoom daadwerkelijke triggering inputs uit om het harde bewijs te leveren dat een kwetsbaarheid bestaat, bijvoorbeeld via dynamische analysehulpmiddelen.

Dankzij plug-ins kunnen domeinexperts specifieke Microsoft-context injecteren (zoals kernel-aanroepconventies of bestandssysteem-invarianten) die generieke AI-modellen uit zichzelf niet kunnen zien.

Recordscores op benchmarks en historische data

Om te bewijzen dat het systeem daadwerkelijk logisch redeneert en niet simpelweg bekende patronen herkent, testte Microsoft de software op StorageDrive — een private driver-codebase die intern voor sollicitaties wordt gebruikt en nooit is gepubliceerd. MDASH wist alle 21 opzettelijk geïntroduceerde kernel-kwetsbaarheden (zoals use-after-frees en integer-handling fouten) foutloos te identificeren, met nul foutpositieven.

Daarnaast presteerde het systeem historisch sterk op retrospectieve tests:

clfs.sys: 96% herkenning (recall) op 28 bevestigde MSRC-zaken over een periode van vijf jaar.

tcpip.sys: 100% herkenning op 7 historische MSRC-gevallen.

CyberGym Benchmark: Op deze publieke benchmark scoorde MDASH een historisch hoge 88,45% op een corpus van 1.507 echte kwetsbaarheden binnen 188 open-source projecten. Daarmee voert Microsoft de ranglijst aan, met een voorsprong van ruim vijf procentpunten op de nummer twee.

Deep Dives: Waarom traditionele scanners faalden

Microsoft gaf details vrij over twee kritieke kwetsbaarheden die door MDASH zijn blootgelegd en die reguliere single-model systemen steevast misten:

1. CVE-2026-33827: Remote unauthenticated UAF in tcpip.sys via SSRR
Dit kritieke lek bevindt zich in de IPv4-ontvangstfunctionaliteit van de Windows-kernel en wordt veroorzaakt door gebrekkig levensduurbeheer van een referentie-geteld Path-object. Na een routing-lookup wordt de referentie voortijdig gedropt, maar later bij het verwerken van Strict Source and Record Route (SSRR)-pakketten opnieuw gebruikt. Omdat dit proces niet synchroon loopt met opschoonroutines op SMP-systemen, ontstaat er een race-conditie. Dit resulteert in een use-after-free (UAF) in de kernelcontext, die op afstand en zonder authenticatie via gemanipuleerde netwerkpakketten getriggerd kan worden.

Waarom reguliere AI dit miste: De kwetsbaarheid is lokaal in de functie niet zichtbaar. De vrijgave en het hergebruik worden gescheiden door complexe control flows en validatiechecks. MDASH ontdekte het lek door cross-file analyse, waarbij het call-sites vergeleek met locaties waar de logica wel correct was geïmplementeerd.

2. CVE-2026-33824: Unauthenticated IKEv2 SA_INIT Double-Free (LocalSystem RCE)
Dit lek bevindt zich in de IKEEXT-dienst (verantwoordelijk voor IPsec-sleutelbeheer) en is bereikbaar via UDP-poort 500 op elke host die is geconfigureerd als IKEv2-responder (zoals VPN-infrastructuren). Door een specifiek vervalst Vendor-ID-payload te sturen, gevolgd door een gefragmenteerd IKEv2-pakket, trekt de service een ondiepe kopie (shallow copy) van de pakketcontext via een vlakke memcpy. Hierdoor claimen zowel de wachtrijcontext als de live sessie eigenaarschap over dezelfde 16-byte heap-allocatie. Bij het afsluiten van de sessie proberen beide componenten het geheugen vrij te geven, wat leidt tot een deterministische double-free binnen de hooggeprivilegieerde LocalSystem-context van svchost.exe.

Waarom reguliere AI dit miste: Het betreft een aliasing-fout die verspreid was over zes verschillende bronbestanden (ike_A.c tot en met ike_F.c). Geen enkele single-file analyse kon dit overzien. De auditor-agenten van MDASH merkten het ontbreken van een cruciale duplicatiestap op door een directe vergelijking te trekken met een correcte implementatie elders in de codebase.

Strategische implicaties voor IT-defensie

Volgens Taesoo Kim, Vice President Agentic Security bij Microsoft, laat deze mijlpaal zien dat AI-gestuurd kwetsbaarheidsonderzoek de fase van academische curiositeit definitief is ontgroeid. "De strategische implicatie is helder: het duurzame voordeel ligt in het agentic systeem rondom het AI-model, en niet in het individuele model zelf", aldus Kim.

Omdat de MDASH-pijplijn model-agnostisch is ontworpen, kan Microsoft bij de introductie van een nieuw basismodel simpelweg via een configuratiewijziging een A/B-test uitvoeren. De eerdere investeringen van klanten en engineeringteams — zoals scope-bestanden, op maat gemaakte plug-ins en configuraties — blijven hierbij behouden.

MDASH wordt momenteel intern ingezet door de beveiligingsteams van Microsoft (waaronder MORSE en WARP) en bevindt zich in een gelimiteerde, besloten testfase (private preview) voor geselecteerde enterprise-klanten.