Искусственный интеллект

Microsoft отправила сотню ИИ-агентов искать уязвимости в Windows

Маша Даровская
By Маша Даровская , IT-редактор и автор
Microsoft отправила сотню ИИ-агентов искать уязвимости в Windows
Обложка © Anonhaven

Microsoft расширяет применение искусственного интеллекта для поиска и исправления уязвимостей Windows. Система сканирует критические компоненты операционной системы, сопоставляет выводы нескольких моделей, пытается воспроизвести найденные ошибки и передаёт инженерам только подтверждённые результаты.

Центральным элементом стала MDASH — многоуровневая система агентного анализа кода. В ней работают более 100 специализированных ИИ-агентов, распределённых между поиском подозрительных участков, проверкой достижимости, оценкой возможности эксплуатации и созданием входных данных, вызывающих ошибку. Microsoft уже связала с MDASH обнаружение 16 уязвимостей в сетевых и аутентификационных компонентах Windows, включая четыре критические ошибки удалённого выполнения кода.

MDASH представили 12 мая 2026 года, а 9 июля команда Windows раскрыла, как ИИ встраивают в полный цикл — от первичного анализа кода до подготовки исправления и проверки обновления.

Название MDASH расшифровывается как многоуровневая агентная система сканирования Microsoft Security. Разработчики подчёркивают, что её главная часть — не конкретная языковая модель, а конвейер, который управляет несколькими моделями и заставляет их выполнять разные роли.

Сначала система индексирует код, изучает историю изменений, строит модель поверхности атаки и определяет важные границы доверия. После этого аудиторы проверяют потенциально опасные пути выполнения и формируют гипотезы об уязвимостях.

Следующая группа агентов выступает в роли оппонентов. Она ищет ошибки в рассуждениях аудитора, проверяет, может ли атакующий действительно достичь проблемного участка, и пытается доказать, что первоначальное сообщение является ложным срабатыванием.

Оставшиеся находки объединяются, чтобы инженеры не получили несколько отчётов об одной ошибке. На заключительном этапе система создаёт данные, вызывающие сбой, и запускает их в контролируемой среде. Кандидат считается подтверждённым, если цепочку удаётся воспроизвести технически, а не только описать в отчёте.

Такой подход отличается от обычной проверки одного файла через чат-бот. Сложные ошибки управления памятью могут быть распределены между несколькими функциями и исходными файлами. Локально каждый участок выглядит правильным, а дефект появляется только при сопоставлении порядка вызовов, времени жизни объектов и поведения параллельных потоков.

MDASH не привязана к одной модели Microsoft. Конвейер может сочетать крупную модель для сложного анализа, более дешёвые модели для массовой проверки гипотез и отдельную сильную модель в качестве независимого оппонента.

В систему также подключаются внешние средства поиска уязвимостей и специализированные модули. Такие дополнения передают агентам знания о внутренних правилах Windows: устройстве ядра, сетевом стеке, блокировках, межпроцессном взаимодействии и форматах системных файлов.

Первую проверку провели на закрытом тестовом драйвере StorageDrive. Его используют при собеседованиях специалистов по наступательной безопасности Microsoft. В код заранее внедрили 21 уязвимость: ошибки работы с памятью, неправильную проверку управляющих запросов, целочисленные дефекты и нарушения синхронизации.

Код драйвера никогда не публиковали, поэтому современные модели не могли запомнить ответы во время обучения. В одном запуске MDASH обнаружила все 21 подготовленную уязвимость и не выдала ни одного ложного срабатывания. Этот результат относится к конкретному тесту и не означает стопроцентную точность на любом коде.

Ретроспективная проверка дала сопоставимые показатели. Система заново проанализировала версии компонентов Windows до установки исправлений и обнаружила 96% из 28 ранее подтверждённых ошибок в драйвере журнальной файловой системы clfs.sys. Для сетевого драйвера tcpip.sys она повторно нашла все семь уязвимостей за выбранный пятилетний период.

MDASH также испытали на CyberGym — наборе из 1507 задач, собранных из реальных уязвимостей в 188 проектах программы непрерывного поиска ошибок OSS-Fuzz.

Агенту предоставляли уязвимый исходный код и общее описание проблемы. Система должна была найти нужный участок, воспроизвести дефект и отправить рабочие входные данные. Итоговый показатель MDASH составил 88,45%.

Примерно 12% заданий остались нерешёнными. В 82% случаев, где система анализировала неправильный участок кода, исходное описание было расплывчатым и не содержало имени файла или функции. Часть других ошибок появилась из-за несовпадения форматов тестовых инструментов: агент создавал входные данные для одного фаззера, а стенд ожидал формат другого.

Microsoft связала работу MDASH с 16 идентификаторами CVE в сетевом стеке и соседних компонентах Windows. Десять ошибок находились в коде режима ядра, ещё шесть — в пользовательских службах и программах. Большинство путей атаки начинались с обработки сетевых данных и не требовали учётной записи.

Четыре дефекта получили критический уровень опасности и относились к удалённому выполнению кода. Ошибки затрагивали стек TCP/IP, службу обмена ключами IKEv2, Netlogon и библиотеку обработки DNS.

Ещё несколько находок позволяли вызвать отказ в обслуживании, раскрыть содержимое памяти, обойти защитную функцию или повысить привилегии. Среди затронутых компонентов также оказались HTTP.sys, Telnet и Windows Filtering Platform.

В майской публикации Microsoft перечислила все 16 CVE как одну группу результатов MDASH. При этом в подробном разборе двух наиболее опасных ошибок указано, что их исправления вошли ещё в апрельский выпуск обновлений.

CVE-2026-33827 находилась в tcpip.sys, системном драйвере сетевого стека Windows. Ошибка относилась к классу use-after-free — обращению к области памяти после её освобождения.

Проблема появлялась при обработке старой возможности IPv4 Strict Source and Record Route. Драйвер уменьшал счётчик ссылок на объект маршрута, после чего продолжал использовать указатель. Другой поток мог успеть окончательно освободить объект и передать ту же область памяти под новые данные.

Удалённому атакующему требовалось отправить специально подготовленный пакет IPv4. Эксплуатация зависела от узкого временного окна и управления повторным использованием памяти, но происходила внутри ядра и не требовала предварительной авторизации. Это стало основанием для критического уровня опасности.

Одиночная модель пропускала дефект, поскольку освобождение объекта и последующее обращение находились в разных ветках сложной функции. Дополнительные условия были распределены между подсистемами очистки кэша, изменением состояния интерфейса и обработкой входного пакета.

Специализированные агенты сопоставили этот участок с другим местом Windows, где аналогичная операция выполнялась в правильном порядке. Разница между двумя реализациями стала одним из подтверждений ошибки.

CVE-2026-33824 затрагивала службу IKEEXT, используемую для работы IKE и AuthIP в IPsec. Она применяется в RRAS VPN, DirectAccess, Always On VPN и правилах безопасности подключений Windows.

Атакующий мог отправить два специально подготовленных пакета на UDP-порт 500 и вызвать двойное освобождение одной области памяти. Причиной стало поверхностное копирование структуры: два объекта получали одинаковый указатель и оба считали себя владельцами выделенной памяти.

Служба работает с правами LocalSystem внутри svchost.exe. Успешное использование ошибки открывало путь к выполнению кода с одним из максимальных уровней привилегий Windows. Авторизация и точный подбор времени не требовались, но на компьютере должна была действовать конфигурация IKEv2, принимающая входящие соединения.

Дефект проходил через шесть исходных файлов. Анализ одной функции не позволял увидеть, что два разных объекта освобождают одну память. MDASH нашла в кодовой базе правильно реализованный похожий участок и использовала его как аргумент против ошибочной реализации.

После подтверждения уязвимости искусственный интеллект помогает инженеру определить причину сбоя, найти похожие ошибки в других местах и подготовить возможный вариант исправления. Система также выбирает регрессионные тесты, которые с наибольшей вероятностью затронет изменение.

Microsoft разрабатывает отдельные агенты для сквозного создания и проверки исправлений. Человеческая проверка кода остаётся обязательной. Инженеры принимают решения о риске, оценивают влияние изменения на совместимость и утверждают финальный вариант.

Фраза «ИИ автоматически исправляет Windows» поэтому чрезмерно упрощает процесс. MDASH может создать кандидат на исправление и доказать, что исходная ошибка воспроизводится. Она не получает самостоятельного права отправить код на миллионы компьютеров.

Ускорение поиска ошибок создаёт отдельную проблему: Microsoft придётся быстрее выпускать больше исправлений, не увеличивая количество сбоев и несовместимостей.

Обновления проверяют во внутренних средах и через Security Update Validation Program. Участники этой программы получают предварительные сборки исправлений, проверяют их на корпоративных приложениях и передают сведения о проблемах до общего выпуска.

Компания также предлагает организациям тестировать необязательные предварительные обновления, выходящие обычно в четвёртую неделю месяца. Они содержат изменения, которые спустя несколько недель должны войти в очередной накопительный выпуск. Такой подход позволяет заранее выявить конфликты с драйверами, приложениями и настройками предприятий.

Microsoft предупреждает, что пользователи могут увидеть больше CVE в ежемесячных выпусках безопасности. Компания объясняет рост не ухудшением качества Windows, а увеличением числа ошибок, найденных до их использования злоумышленниками.

Но ИИ-инструменты доступны не только разработчикам Windows. Они помогают исследовать исправления, сравнивать версии файлов и создавать рабочие примеры эксплуатации уже раскрытых ошибок.

После выпуска обновления атакующие могут изучить изменённый код и восстановить причину уязвимости. Этот процесс называют анализом различий исправления. Автоматизация сокращает время между публикацией патча и появлением работающей атаки.

Команда Windows поэтому предлагает переходить от фиксированного графика «проверим патчи через несколько недель» к непрерывному управлению риском. Уязвимости на интернет-доступных серверах и критических системах должны получать более высокий приоритет, чем ошибки в изолированных рабочих станциях.

Для части корпоративных компьютеров Windows 11 доступны горячие исправления. Они заменяют код работающих процессов без полной перезагрузки операционной системы.

Функция требует Windows 11 версии 24H2 или новее, подходящей корпоративной лицензии, Microsoft Intune и включённой защиты на основе виртуализации. Система использует квартальные базовые обновления с перезагрузкой, а в промежуточные месяцы может устанавливать патчи безопасности без неё.

Похожий режим работает на поддерживаемых выпусках Windows Server. Серверы всё равно периодически получают базовое накопительное обновление с перезапуском. Горячие патчи не охватывают драйверы, прошивки, обновления .NET и другие сторонние компоненты.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.