// 1 ZERO-DAY NELLE ULTIME 24H
Il VP Microsoft Pavan Davuluri ha annunciato che l'IA aumenterà permanentemente il volume degli aggiornamenti di sicurezza. Giugno 2026 ha stabilito il record di 206 CVE.

Pavan Davuluri, executive vice president di Microsoft per Windows e Devices, ha dichiarato ufficialmente il 9 luglio 2026 che l'intelligenza artificiale aumenterà in modo permanente il volume di patch distribuite con ogni Patch Tuesday. L'annuncio arriva dopo il record di giugno 2026, quando Microsoft ha rilasciato 206 CVE, superando il precedente massimo di 175 CVE dell'ottobre 2025. La posta in gioco è operativa: i team IT enterprise devono riprogettare i cicli di gestione degli aggiornamenti per un flusso sostenuto molto più intenso.

Punti chiave
  • Pavan Davuluri ha affermato esplicitamente che "i clienti vedranno un volume più elevato di aggiornamenti di sicurezza in ogni rilascio" a causa dell'IA [FONTE 1]
  • Microsoft impiega MDASH, un sistema di scanning agentico multi-modello con "dibattito multi-modello" e pipeline di validazione dedicata per scansionare i binari Windows [FONTE 1]
  • Il Patch Tuesday di giugno 2026 ha totalizzato 206 CVE secondo Dark Reading, 208 secondo ZDI, contro i 175 del record precedente [FONTE 3][FONTE 4]
  • MDASH ha identificato autonomamente 16 vulnerabilità nel maggio 2026 prima che qualsiasi ricercatore umano le segnalasse [FONTE 4]

MDASH: come Microsoft scansiona Windows con più modelli IA in parallelo

Il sistema MDASH (multi-model agentic scanning harness) rappresenta l'architettura tecnica alla base dell'accelerazione. Secondo il post di Davuluri, MDASH "utilizza più modelli, inclusi i principali modelli di terze parti per la scoperta di vulnerabilità basati su IA" per analizzare i binari Windows a scala. Il flusso prevede uno scanner pipeline con "dibattito multi-modello attraverso più famiglie di modelli" e una prove pipeline specifica per Windows finalizzata a eliminare i falsi positivi residui. I risultati passano quindi a revisione umana.

La fonte sottolinea esplicitamente che "gli esseri umani rimangono nel ciclo" per le decisioni su revisione del codice e valutazione del rischio. Non emerge tuttavia il tasso di falsi positivi di MDASH, la percentuale di copertura del codebase né i tempi medi di validazione. Il dossier non specifica quali modelli di terze parti siano integrati né se siano soggetti a bias nei dati di training.

Giugno 2026: il Patch Tuesday record e le discrepanze di conteggio

Le fonti convergono sull'eccezionalità del rilascio di giugno 2026, ma riportano cifre leggermente diverse. Dark Reading indica 206 CVE. ZDI, citato da The Record, conta 208 CVE. Tenable, sempre secondo Dark Reading, riporta 198. Tutte le fonti concordano nel definirlo il Patch Tuesday più voluminoso della storia Microsoft. Il precedente record, 175 CVE, risale all'ottobre 2025.

Un'ulteriore discrepanza riguarda il totale ufficiale: le release notes di MSRC per giugno 2026 elencano 219 CVE, numero che la fonte primaria autorizzata registra indipendentemente dalle stime dei ricercatori esterni. Di questi, 32 erano classificati critical severity, 5 con punteggio CVSS 9.0 o superiore, e 13 erano contrassegnati con l'etichetta "Exploitation More Likely" da Microsoft.

Tre zero-day sono stati inclusi nel rilascio, tra cui CVE-2026-50507, bypass di BitLocker con CVSS 6.8. Il dossier non specifica se questi tre siano stati attivamente sfruttati o solo pubblicamente divulgati.

Le vulnerabilità più pericolose del rilascio record

Tra le 206-219 CVE, due hanno attirato l'attenzione dei ricercatori per le caratteristiche tecniche. CVE-2026-47291, RCE in HTTP.sys, ha CVSS 9.8 secondo la pagina MSRC dedicata, richiede né autenticazione né interazione utente. Amol Sarwate, responsabile della ricerca sulla sicurezza di Cohesity, ha valutato che questa configurazione "la rende potenzialmente wormable" — un'assessment basato sulle proprietà tecniche, non su conferma di attività worm effettiva.

CVE-2026-44815, RCE nel client DHCP, ha anch'esso CVSS 9.8. Il ricercatore di Cohesity ha osservato che questo componente "gira praticamente su ogni endpoint Windows", amplificando la superficie di attacco. Anche in questo caso, nessuna fonte documenta sfruttamento attivo in-the-wild.

Il dossier riporta un dato di contesto rilevante: secondo l'analista di Fortra Tyler Reguly, solo circa 30 CVE all'anno finiscono tipicamente nella lista CISA KEV nel periodo 2023-2025. Il volume elevato non implica automaticamente un incremento proporzionale delle minacce attive.

Tom Gallagher: la previsione del "nuovo normale" già nel maggio 2026

La direzione strategica era stata anticipata. Tom Gallagher, vice president di Microsoft, aveva dichiarato in un post di maggio 2026 che gli strumenti IA stavano guidando un'impennata nella scoperta di vulnerabilità e che i rilasci voluminosi "potrebbero diventare il nuovo normale". Entro quel mese, MDASH aveva già identificato in modo autonomo 16 vulnerabilità prima di qualsiasi segnalazione umana.

Il dato delle 16 scoperte indipendenti offre un punto di riferimento concreto sul rapporto uomo-macchina nel processo. Non emerge tuttavia se queste 16 fossero di severità critica o media, né quanto tempo sia trascorso tra la scoperta automatica e la pubblicazione della patch.

"As AI helps defenders discover more issues, customers will see a higher volume of security updates included in each security release" — Pavan Davuluri, Microsoft EVP for Windows + Devices

Il Secure Development Lifecycle e l'aggiornamento alle tecniche IA-enabled

Parallelamente all'espansione della scoperta, Microsoft sta aggiornando il Secure Development Lifecycle per "prendere esplicitamente in considerazione potenziali tecniche di attacco abilitate da IA e percorsi di exploit". Questa modifica, riportata da The Verge e Windows Forum, riconosce che l'IA accelera entrambi i fronti: difesa e offesa.

L'adozione non è isolata a Redmond. Oracle ha annunciato in parallelo che i propri strumenti IA per la scoperta di bug aggiungeranno patch critiche mensili alla schedule trimestrale esistente. Il dossier non chiarisce se questa convergenza tra vendor indichi uno shift strutturale settoriale o decisioni aziendali indipendenti.

Perché è importante

Il brief non documenta misure correttive specifiche consigliate da Microsoft per affrontare l'aumento di volume. La fonte primaria enfatizza gli strumenti di patching automatizzato proprietari come risposta operativa, ma non fornisce dettagli sui loro meccanismi di rollback, criteri di eccezione né tassi di regressione.

Il dossier non specifica chi sostenga i costi di validazione e test dei patch in ambienti enterprise complessi. Non emerge inoltre se la velocità di rilascio possa compromettere la qualità del testing interno Microsoft. La fonte non dettaglia se l'aumento di volume riguarderà uniformemente tutte le famiglie di prodotti o si concentrerà su specifici layer del sistema operativo.

L'elemento che il dossier lascia implicito ma non risolve: il modello commerciale in cui Microsoft genera simultaneamente il problema (più patch) e vende lo strumento per gestirlo. Nessuna fonte qualifica questo come conflitto di interesse documentato, ma l'incrocio rientra nei limiti di analisi che il brief marca come non verificati.

Domande frequenti

Giugno 2026 è stato anomalo o inizieranno tutti i mesi con 200+ CVE?

Il dossier registra giugno come record, non come trend consolidato. Gallagher ha detto che grandi rilasci "potrebbero diventare il nuovo normale" — il condizionale indica previsione, non certezza operativa.

Le vulnerabilità trovate dall'IA sono meno affidabili di quelle umane?

Il brief non contiene metriche comparative di qualità. MDASH include una prove pipeline per ridurre i falsi positivi, ma il dossier non quantifica l'efficacia residua di questo filtro.

Che rischio concreto corre per un'azienda con centinaia di server Windows?

La fonte non specifica impatti differenziati per scala infrastrutturale. L'unico dato contestuale certo è l'assessment di Fortra che la maggior parte delle CVE "non verrà mai sfruttata".

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. theregister.com
  2. theverge.com
  3. darkreading.com
  4. therecord.media
  5. windowsforum.com
  6. msrc.microsoft.com