Microsoft MDASH: Multi-Model Agentic Scanning Harness untuk Penemuan Kerentanan Skala Produksi

Tim Autonomous Code Security Microsoft mengungkapkan MDASH (multi-model agentic scanning harness) pada 12 Mei 2026, sebuah sistem yang mengorkestra lebih dari 100 agen AI khusus di seluruh model frontier dan distilled untuk secara otonom menemukan, memvalidasi, dan membuktikan cacat yang dapat dieksploitasi dalam codebases yang kompleks. MDASH menggunakan pipeline terstruktur: threat modeling, auditor agents untuk menandai kandidat masalah, debater agents untuk memvalidasi temuan, semantic deduplication, dan proof-of-concept generation. Pada Patch Tuesday Mei 2026, MDASH menemukan 16 kerentanan Windows, termasuk RCEs kritis di ikeext.dll (IKEv2 double-free, CVE-2026-33824, CVSS 9.8) dan tcpip.sys (IPv6/IPsec race condition, CVE-2026-33827, CVSS 8.1). Microsoft melaporkan recall 96–100% pada komponen Windows yang heavily audited dan kinerja benchmark CyberGym yang kuat.

MDASH menunjukkan bahwa orkestrasi multi-agent di seluruh model heterogen menghasilkan temuan kerentanan dengan fidelitas lebih tinggi dibandingkan pendekatan single-model. Kemampuan untuk memanfaatkan ketidaksepakatan antara auditor agents dan debater agents sebagai sinyal kredibilitas adalah novel secara arsitektur. Hasil real-world (16 temuan critical/high-severity dalam satu siklus patch, termasuk Windows networking flaws yang sebelumnya tidak diketahui) memvalidasi agentic security sebagai pergeseran kemampuan production-grade. Ini kemungkinan akan mempercepat adopsi industri-lebar dari agentic vulnerability scanning, mendorong lonjakan dalam kerentanan yang diungkap saat vendor lain mengikuti langkah Microsoft.

Kerentanan Microsoft Patch Tuesday memengaruhi semua organisasi yang bergantung pada Windows. Organisasi harus memprioritaskan CVE-2026-33824 (IKEv2 RCE) dan CVE-2026-33827 (TCP/IP RCE) untuk patching segera, khususnya VPN/IPsec endpoints, DNS clients, dan domain controllers. Perusahaan yang lebih besar dan vendor keamanan harus mengevaluasi sistem agentic scanning (kompetitor MDASH akan muncul) sebagai bagian dari pipeline penemuan kerentanan mereka sendiri. Pelajaran untuk pertahanan: penemuan kerentanan agentic kini adalah capability multiplier; pesaing dan pembela akan menyebarkan sistem ini dalam skala besar.