Wie Microsofts KI-System MDASH 16 Windows-Schwachstellen in einem Patch Tuesday aufspürte

Die entdeckten Fehler wurden im Rahmen des Patch Tuesday im Mai 2026 behoben. Insgesamt umfasste das Update rund 120 Sicherheitslücken, von denen 16 mithilfe des neuen KI‑Systems entdeckt wurden.

Was MDASH eigentlich ist

MDASH ist laut Microsoft eine agentenbasierte Multi‑Modell‑Plattform zur automatisierten Schwachstellensuche. Anders als klassische Scanner nutzt sie nicht ein einzelnes Modell oder ein statisches Analysewerkzeug.

Stattdessen koordiniert die Plattform mehr als 100 spezialisierte KI‑Agenten, die gemeinsam große Codebasen analysieren.

Entwickelt wurde das System von Microsofts Autonomous Code Security Team in Zusammenarbeit mit der Windows Attack Research and Protection Group.

Das Ziel: Sicherheitslücken in riesigen Softwareprojekten wie Windows schneller und systematischer zu entdecken, als es menschliche Forschung allein leisten kann.

Wie der Multi‑Agenten‑Workflow funktioniert

Öffentliche Beschreibungen zeigen, dass MDASH in mehreren Phasen arbeitet, wobei verschiedene KI‑Agenten unterschiedliche Rollen übernehmen.

1. Vorbereitung und Bedrohungsmodell
Zunächst wird der Quellcode analysiert und eine Karte möglicher Angriffsflächen erstellt, um riskante Bereiche zu identifizieren.

2. Großflächiges Scannen
Dutzende oder hunderte spezialisierte Agenten untersuchen den Code parallel und erstellen Hypothesen über mögliche Schwachstellen – inklusive technischer Hinweise und Belege.

3. KI‑Debatte und Verifikation
Weitere Agenten überprüfen diese Hypothesen, widersprechen oder bestätigen sie und versuchen so herauszufinden, ob ein gemeldeter Fehler wirklich existiert.

4. Zusammenführen ähnlicher Ergebnisse
Ähnliche Meldungen werden automatisch zusammengelegt, damit keine doppelt gemeldeten Schwachstellen entstehen.

5. Exploit‑Nachweis
Zum Schluss versucht das System, die Schwachstelle praktisch auszulösen oder einen reproduzierbaren Nachweis zu erzeugen.

Dieser Ablauf ähnelt stark der Arbeit menschlicher Security‑Teams – nur dass die Analyse automatisiert und parallel in großem Maßstab stattfinden kann.

Benchmark‑Ergebnisse und Tests

Frühe Tests deuten darauf hin, dass das System bei der Suche nach Schwachstellen sehr leistungsfähig ist.

Berichten zufolge erreichte MDASH beispielsweise etwa 88 % im CyberGym‑Benchmark, einem öffentlichen Testset für Vulnerability‑Detection‑Tools.

In internen Experimenten fand das System zudem alle absichtlich eingebauten Schwachstellen in einem Testtreiber – ein Hinweis auf eine hohe Trefferquote in kontrollierten Szenarien.

Solche Ergebnisse garantieren zwar noch keine perfekte Leistung in realer Software, zeigen aber, dass koordinierte KI‑Agenten bei der Analyse großer Codebasen effektiv sein können.

Warum die ersten Ergebnisse wichtig sind

Der entscheidende Punkt: MDASH blieb nicht im Labor.

Die von der KI entdeckten Fehler wurden tatsächlich in einem produktiven Windows‑Update gepatcht. Damit liefert das System sofort messbaren Nutzen.

Viele Sicherheitswerkzeuge funktionieren in Forschungsumgebungen gut, liefern aber kaum verwertbare Ergebnisse in realer Software. Dass MDASH Schwachstellen in zentralen Windows‑Netzwerk‑ und Authentifizierungskomponenten fand, deutet darauf hin, dass das System bereits auf kritische Angriffspunkte im Betriebssystem abzielen kann.

Teil von Microsofts Strategie: „Defense at AI speed“

Microsoft sieht MDASH als Teil einer größeren Sicherheitsstrategie, die das Unternehmen „Defense at AI speed“ nennt. Die Idee dahinter: Wenn Angreifer KI nutzen können, um schneller Schwachstellen zu finden, müssen Verteidiger mit ähnlichen Werkzeugen reagieren.

Deshalb plant Microsoft, MDASH in einer Private Preview für Unternehmenskunden verfügbar zu machen. Organisationen könnten damit künftig eigene Codebasen mit KI‑Unterstützung nach Sicherheitslücken durchsuchen.

Sollte sich dieser Ansatz durchsetzen, könnten solche Systeme langfristig mehrere Dinge verändern:

• Sicherheitsforschung lässt sich über riesige Codebasen skalieren
• Schwachstellen könnten deutlich früher entdeckt werden
• menschliche Sicherheitsforscher erhalten automatisierte Hypothesen und Analysen

Kurz gesagt: Tools wie MDASH könnten dazu führen, dass KI‑Agenten zu festen Mitgliedern von Security‑Teams werden – ständig auf der Suche nach neuen Schwachstellen, bevor Angreifer sie ausnutzen können.

Die Ergebnisse des Patch Tuesday im Mai 2026 liefern einen ersten Hinweis darauf, wie diese Zukunft aussehen könnte.