Build 2026：微软MDASH正式结束预览，推出逾百款专属威胁猎杀AI智能体

上个月，微软发布了MDASH——微软安全多模型智能体扫描框架。尽管名字略显拗口，但这是一次重大尝试，旨在将海量安全告警精简为真正可被利用的漏洞警报。

在Build 2026大会上，微软宣布将MDASH能力整合进完整的企业安全控制平面，打通Defender、GitHub Code Security、Agent 365与Purview。

微软首席安全架构师Ales Holecek表示："AI漏洞发现已从研究领域的探索跨越到企业级生产防御，而持久优势在于围绕模型构建的智能体系统，而非任何单一模型本身。"

安全自动化领域面临的一大难题是信噪比问题。当算法或AI被部署到网络或代码库中时，自动化工具往往会产生数百甚至数千条警报。

尽管安全扫描器发现的所有潜在风险或许都值得关注，但并非每一条都需要立刻拉响最高级别警报。

这就像战地分诊的逻辑：数百名伤员涌入分诊区，医护人员迅速判断谁需要紧急救治、谁可以暂缓处理、谁已回天乏术，然后将资源集中在最危急且有救治希望的伤员身上。

MDASH（官方代号"Codename MDASH"）本质上是一套对漏洞进行分级处理的AI智能体系统。它不会用持续的漏洞发现结果淹没修复团队，而是"将真实、可操作的风险置于优先位置，过滤噪声，帮助团队聚焦真正可被利用的威胁"。

微软未公开MDASH所使用的具体模型，但表示系统采用前沿模型处理复杂推理任务，并使用低成本模型应对高并发操作。这样的组合让微软能够在速度、召回率与成本之间灵活权衡，同时降低对单一模型的依赖，并实现模型无关性，便于在必要时切换模型。

Holecek介绍称："这套全新的智能体安全系统通过超过100个专属AI智能体组成的流水线，结合多模型集成方式，对主流编程语言编写的代码库进行漏洞发现、验证与可利用性证明。"

对于基准测试评分，笔者向来持保留态度，因为工具可能针对测试指标进行专门优化。尽管如此，微软表示MDASH近期在CyberGym基准测试中取得了96.55%的得分，较上月首次发布时的88.45%有所提升。

在Build 2026大会上，微软将MDASH纳入更广泛的企业安全平台叙事，不再将其定位为独立的私有预览产品。微软宣布MDASH现已面向符合条件的组织开放扩展预览，并整合了Microsoft Defender。这是微软推动保障完整AI开发生命周期的重要举措，覆盖代码、智能体、提示词、数据与模型各环节，并以此为基础保护网络整体安全。

普华永道美国网络、数据与技术风险部门负责人及副平台领导Morgan Adamski表示："我们看到网络威胁正在快速演进，AI正在加速攻击的规模与复杂程度。MDASH在简化和强化安全运营方面潜力显著，有助于组织以更强的韧性和信心开展运营。"

与此同时，Microsoft Defender与GitHub Code Security正在进行整合，将运行时上下文引入开发者与安全工作流程，以便在生命周期更早阶段发现、优先处理并修复风险。

据微软介绍："代码中发现的漏洞将自动与真实生产环境信号关联，例如互联网暴露面和数据敏感性，以辅助优先级判断。开发者随后可借助AI辅助修复功能，通过GitHub Copilot自动修复和GitHub Copilot云端智能体完成问题的生成、分配与验证。"

埃森哲首席信息安全官Kris Burkhardt表示："微软围绕MDASH所构建的系统，代表着从被动式、基于规则的扫描向智能体系统的实质性转变——后者能够像资深安全研究员一样对复杂代码库进行推理分析。"

Build大会传递出的核心信息是：微软正将自身定位为AI时代软件开发与部署的安全层，尤其面向深度依赖微软生态的企业客户。

微软表示："创新与安全之间不应存在取舍。今日发布的能力贯穿完整开发生命周期：发现可利用漏洞、治理运行中的系统、保护AI所依赖的数据，以及在智能体上线前验证其行为是否符合预期。"

微软还提出了一个值得关注的观点：AI的进步不仅取决于能力的突破，更取决于组织能否信任其正在构建和部署的系统。言下之意，基于微软基础设施构建和运行的系统将能够建立这种信任。

Holecek如此阐述："这种信任是Build 2026所有创新公告的共同主线，也是我们方法论的指导原则。因为AI的未来不只属于行动最快的人，更属于能够以信任驱动创新的人。"

客观而言，微软一贯敢于大胆出手，且往往能将其落地成真。如果微软工具能够证明漏洞的可利用性，并将其与修复流程打通，将有望重塑企业漏洞管理方式，大幅提升组织安全水位。

Q&A

Q1：MDASH是什么？它在企业安全中能起到什么作用？

A：MDASH是微软推出的安全多模型智能体扫描框架，其核心功能是对代码库漏洞进行智能分级处理。它通过100多个专属AI智能体组成的流水线，结合多模型集成方式，识别、验证并证明漏洞的可利用性，从而帮助安全团队过滤噪声告警，将精力集中在真正危险且可被利用的漏洞上，提升企业安全运营效率。

Q2：MDASH与Microsoft Defender、GitHub整合后有哪些新能力？

A：整合后，MDASH能将代码漏洞与真实生产环境信号（如互联网暴露面、数据敏感性）自动关联，辅助安全团队进行优先级判断。开发者可通过GitHub Copilot自动修复和GitHub Copilot云端智能体生成、分配并验证修复方案，实现在开发生命周期更早阶段发现并消除风险，而非等到上线后再被动响应。

Q3：MDASH目前的可用状态如何？哪些组织可以使用？

A：目前MDASH已从私有预览阶段进入扩展预览阶段，面向符合条件的组织开放，并已集成Microsoft Defender支持。微软将其定位为面向企业级用户的生产级安全工具，尤其适合深度使用微软生态（包括Defender、GitHub、Purview等）的企业客户。