Microsoft MDASH scopre 16 falle Windows con oltre 100 agenti AI

Microsoft MDASH scopre 16 falle Windows con oltre 100 agenti AI

Microsoft ha annunciato il 12 maggio 2026 MDASH, un sistema agentic multi-modello con oltre un centinaio di agenti AI specializzati che ha identificato 16 vulnerabilità Windows corrette nel Patch Tuesday di maggio, tra cui 4 RCE critiche nel kernel di rete.

Il passaggio decisivo non è la potenza di un singolo LLM, ma l’orchestrazione di un pipeline a cinque fasi in grado di scalare su codice proprietario complesso come Windows e di mantenere prestazioni al cambio di generazione di modelli.

Per i team di sicurezza enterprise, il segnale è chiaro: la scoperta di vulnerabilità sta diventando un flusso automatico, non più un’attività esclusivamente umana.

Auditor, debater e prover: come MDASH analizza il codice Windows

MDASH non è un singolo modello di linguaggio, ma una harness multi-agente che Microsoft definisce model-agnostic. L’architettura orchestra oltre un centinaio di agenti AI specializzati in un pipeline a cinque fasi — prepare, scan, validate, dedup, prove — distribuito su un ensemble di modelli frontier e distilled.

La differenza rispetto ai tool tradizionali di static analysis sta nella capacità di ragionamento: MDASH non si limita a pattern matching, ma ricostruisce la semantica del codice per individuare bug di memory corruption che richiedono comprensione contestuale, come race condition in driver concorrenti o double-free in path di errore non lineari.

Il cuore del processo è la divisione in ruoli. L’auditor ispeziona il codice sorgente alla ricerca di anomalie di memory corruption come use-after-free, double-free e race condition nel kernel network stack. Il debater stress-testa le ipotesi generando contro-argomenti tecnici per scovare logiche errate. Il prover costruisce un proof-of-concept funzionante per confermare la bug chain e stabilire la raggiungibilità della falla.

Questa specializzazione permette a MDASH di scalare su milioni di righe di codice proprietario come Windows, dove un singolo inference engine tenderebbe a perdere coerenza contestuale. L’uso di un ensemble eterogeneo, piuttosto che di un unico LLM, è ciò che consente al sistema di mantenere prestazioni stabili anche quando i modelli sottostanti vengono aggiornati o sostituiti.

Il segnale di disaccordo: perché il sistema è model-agnostic

Il vantaggio duraturo di MDASH non risiede nel peso parametrico di un modello, ma nel meccanismo di disaccordo tra agenti. Quando l’auditor e il debater non convergono sullo stesso verdetto, il segnale di conflitto attiva una fase di prove più approfondita, riducendo i falsi positivi e aumentando la fiducia nelle scoperte.

Taesoo Kim, VP Agentic Security di Microsoft, ha sintetizzato il principio in una frase: “The model is one input. The system is the product.” È l’orchestrazione, non la dimensione del transformer, a rendere il sistema portabile tra generazioni di modelli e applicabile a domini eterogenei, dal kernel di rete ai driver di storage.

Questa portabilità è già stata testata su cinque anni di casi MSRC confermati, con un recall quasi del 96% in clfs.sys e del 100% in tcpip.sys. La capacità di mantenere questi livelli su codice storico e componenti diversi indica che la pipeline agentic è meno vulnerabile alla deriva dei pesi dei modelli rispetto ai sistemi monolitici.

"AI vulnerability discovery has crossed from research curiosity into production-grade defense at enterprise scale, and the durable advantage lies in the agentic system around the model rather than any single model itself." — Taesoo Kim, VP Agentic Security, Microsoft

TCP/IP e IKEv2: il perimetro delle 4 RCE critiche patchate

Tra le 16 vulnerabilità corrette nel maggio 2026 Patch Tuesday, Microsoft conferma che quattro sono classificate Critical e portano a remote code execution. Almeno due di queste sono state dettagliate nel bollettino ufficiale.

La CVE-2026-33827 è un use-after-free nel TCP/IP IPv4 SSRR con punteggio CVSS 9,8. La CVE-2026-33824 è una double-free in ikeext.dll nel servizio IKEv2 che consente RCE con privilegi LocalSystem. Entrambe colpiscono stack di rete onnipresenti in ambienti Windows enterprise: gateway VPN, server Remote Access e infrastrutture TCP/IP interne.

Le altre due RCE critiche riguardano componenti dello stack di rete e dell’autenticazione Windows, anche se l’elenco completo dei 16 numeri CVE non è integralmente disponibile nelle fonti analizzate a causa di una tabella troncata. Questo limite impedisce di mappare con certezza assoluta l’intero perimetro delle falle scoperte da MDASH nel Patch Tuesday.

CyberGym, StorageDrive e il dilemma dei numeri self-reported

Microsoft ha pubblicato risultati su due benchmark principali. Sul driver interno privato StorageDrive, con 21 vulnerabilità di memory corruption iniettate, MDASH ha individuato tutte e 21 le falle con zero false positive nel run con configurazione default. Sul benchmark pubblico CyberGym, che raccoglie oltre 1.500 vulnerabilità reali, il sistema ha ottenuto un punteggio vicino all’88,45%, collocandosi al vertice della leaderboard.

I dati storici sui casi MSRC confermati mostrano un recall quasi del 96% in clfs.sys e del 100% in tcpip.sys su un arco di cinque anni. Tuttavia, questi numeri sono self-reported: nessuna fonte indipendente, CERT o agenzia governativa ne ha verificato i risultati, e il report primario presenta limitazioni tecniche come una tabella CVE troncata.

Per i CISO, il significato è duplice. Da un lato, la capacità di trovare bug in codice proprietario complesso a velocità macchina è una linea di difesa avanzata. Dall’altro, l’assenza di audit esterni richiede cautela nel tradurre i punteggi benchmark in garanzie contrattuali o operative. Come ha osservato Sanchit Vir Gogia di Greyhound Research: “CyberGym is a signal, not a buying decision.”

Cosa fare adesso

Le 4 RCE critiche individuate da MDASH colpiscono stack di rete e autenticazione onnipresenti in ambienti Windows enterprise. Per i CISO, l’azione non è differibile: la patch esiste, ma la governance deve adattarsi a un ritmo di discovery che da oggi può essere continuo e automatico.

1. Applicare immediatamente il maggio 2026 Patch Tuesday su tutti gli asset Windows che espongono stack di rete e autenticazione, con priorità assoluta per server edge, gateway VPN e controller di dominio che gestiscono IKEv2 e TCP/IP. Le quattro RCE critiche colpiscono componenti onnipresenti e non possono rimanere aperte su sistemi esposti.

2. Attivare controlli compensativi dove la patch non è immediatamente installabile: segmentare la rete per limitare l’esposizione dei servizi IKEv2, filtrare il routing SSRR su TCP/IP IPv4 e ridurre la superficie di attacco dei server RRA fino a completare l’update.

3. Rivedere i processi di vulnerability management per integrare flussi di discovery automatica AI senza perdere il controllo operativo: definire SLI tra scoperta, validazione e remediation per evitare che l’accelerazione dei segnali automatici generi backlog non gestibili o alert fatigue nei team.

4. Separare le fazioni di auditing, debating e proving nei tool LLM-based già in uso nei team red/blue o SOC, imponendo revisori umani tra la generazione automatica di ipotesi e qualsiasi azione su sistemi produttivi. Il rischio di un ciclo agentic non supervisionato è la creazione di PoC dannosi o la segnalazione di falle non prioritarie che dirottano risorse.

L’annuncio di MDASH non aggiunge un semplice strumento all’arsenale della sicurezza, ma ridefinisce chi scopre le falle e con quale velocità. Se l’orchestrazione agentic manterrà la robustezza dimostrata anche al di fuori dei benchmark aziendali, il prossimo dibattito non sarà più sulla capacità di trovare bug, ma sulla disciplina di risolverli prima che il rumore delle segnalazioni automatiche sommerga i team di remediation.

Domande frequenti

MDASH è acquistabile o disponibile per tutte le aziende?

No. Il sistema è attualmente in limited private preview presso un ristretto numero di clienti enterprise. Non è in general availability e non è un prodotto commerciale aperto sul mercato.

I benchmark di Microsoft sono stati verificati da organismi indipendenti?

Le fonti disponibili non riportano alcuna verifica indipendente da parte di terzi, CERT o agenzie governative. I risultati su CyberGym, StorageDrive e i recall storici MSRC sono self-reported.

Le 16 vulnerabilità erano già sfruttate attivamente prima del Patch Tuesday?

Nelle fonti analizzate non è presente evidenza di exploitation in-the-wild precedente al rilascio delle patch del 12 maggio 2026.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html
• https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-microsofts-new-multi-model-agentic-security-system-finds-16-new-vulnerabilities/
• https://www.csoonline.com/article/4170785/microsofts-new-ai-system-finds-16-windows-flaws-including-four-critical-rces.html
• https://letsdatascience.com/news/microsofts-mdash-finds-16-windows-vulnerabilities-7f909260
• https://www.helpnetsecurity.com/2026/05/13/microsoft-mdash-agentic-ai-security-system/