La implementación de un sistema multimodelo basado en IA agéntica permitió a Microsoft identificar 18 vulnerabilidades previamente desconocidas en componentes de red y subsistemas de autenticación de Windows, incluyendo defectos críticos que conducen a la ejecución remota de código.
Microsoft presentó la tecnología MDASH (Arnés de Escaneo Agéntico Multimodelo), diseñada para la búsqueda automatizada de defectos de seguridad en el código fuente. A diferencia de los analizadores estáticos y dinámicos tradicionales, MDASH es un complejo distribuido que incluye más de 100 agentes de IA especializados. Cada agente desempeña un rol estrictamente definido: algunos son responsables de identificar patrones sospechosos, otros de la verificación estática y dinámica de hipótesis, otros de la reproducción automática de escenarios de explotación, y otros de la clasificación final de las anomalías detectadas como vulnerabilidades confirmadas.
En pruebas internas, se presentó al sistema un conjunto de 21 vulnerabilidades implantadas artificialmente: MDASH demostró una cobertura del 100%. En el análisis retrospectivo de los datos del MSRC (Centro de Respuesta de Seguridad de Microsoft) sobre los subsistemas de red de Windows, la precisión de coincidencia alcanzó el 96%. En el banco de pruebas público CyberGym, el resultado fue de aproximadamente un 88% de soluciones exitosas, lo que, según los desarrolladores, corresponde a las posiciones líderes entre los sistemas automatizados de búsqueda de vulnerabilidades. El costo de licenciamiento para clientes externos no se revela, sin embargo, se sabe que la tecnología ya se aplica internamente en Microsoft en las etapas de verificación previa al lanzamiento y validación de parches.
Tecnológicamente, MDASH funciona como un pipeline de etapas secuenciales. La entrada es un árbol de sintaxis abstracta o una representación intermedia del código. La primera clase de agentes (detectores), basada en modelos entrenados (incluyendo transformadores pesados con contexto largo), genera hipótesis sobre posibles errores, por ejemplo, el uso de memoria no inicializada o la falta de verificación de límites en pilas de red. Luego entran en acción los agentes validadores (basados en modelos ligeros), que realizan ejecución simbólica limitada y análisis estático del flujo de datos. Después de esto, los agentes explotadores instrumentan dinámicamente el código en un entorno aislado, intentando provocar la anomalía objetivo (por ejemplo, una caída del sistema o un desbordamiento de búfer no controlado). Finalmente, los agentes filtro, basados en modelos de refuerzo, deciden si se trata de un falso positivo o una vulnerabilidad real, generando un informe con el vector de ataque.
Desde un punto de vista analítico, MDASH es interesante no tanto por la cantidad de vulnerabilidades encontradas, sino por el cambio arquitectónico: el análisis estático y el fuzzing actúan aquí solo como proveedores de sospechas, mientras que la lógica principal de verificación y explotación se delega a agentes especializados. Esto permite acercarse a la ingeniería inversa semiautónoma de vulnerabilidades, donde la IA no solo encuentra el defecto, sino que también prueba parcialmente su viabilidad. Sin embargo, una limitación importante sigue siendo el costo computacional: la ejecución simultánea de más de 100 agentes a escala de toda la base de código de Windows requiere clústeres con aceleración GPU, lo que aún no está disponible para la mayoría de las organizaciones externas sin la infraestructura correspondiente.