Build 2026:微软 MDASH 正式发布,100+ 专业威胁狩猎 AI 代理上线
在 Build 2026 上,微软宣布其安全 AI 代理系统 MDASH(Microsoft Security 多模型代理扫描工具)结束预览,正式投入生产环境。该系统集成了超过 100 个 专业威胁狩猎 AI 代理,能够自动发现真实可利用的漏洞,并将其直接关联到 Defender、GitHub 代码安全、Agent 365 和 Purview 等企业安全组件中,帮助开发者更快地修复问题。
从“噪音”到“信号”:MDASH 的核心价值
长期以来,安全自动化工具面临的一大难题是 信噪比过低——扫描器可能产生数百甚至数千条告警,但其中真正需要紧急响应的漏洞寥寥无几。MDASH 的设计思路类似 战场分诊:AI 代理首先快速评估每个潜在风险的严重性和可利用性,然后优先处理那些最危险、最有可能被攻击者利用的漏洞,而不是让安全团队淹没在海量告警中。
微软首席安全架构师 Aleš Holeček 表示:“AI 漏洞发现已从研究好奇心转变为生产级防御,而持久的优势在于围绕模型的代理系统,而非模型本身。”这意味着 MDASH 的成功不仅依赖底层大模型的能力,更依赖于 代理编排、上下文关联和自动化响应 的完整闭环。
代理生态:100+ 专业代理各司其职
MDASH 此次发布的 100 多个代理并非通用型 AI,而是针对不同威胁场景专门训练的 专业代理。例如,某些代理专注于 Web 应用漏洞(如 SQL 注入、XSS),另一些则擅长 云配置错误检测 或 供应链依赖分析。这些代理可以并行工作,相互协作,甚至能根据扫描结果自动调整攻击路径模拟,以验证漏洞的实际可利用性。
这种 多代理协作 模式显著降低了误报率。微软内部测试显示,与传统单一扫描器相比,MDASH 将需要人工介入的告警数量减少了 70% 以上,同时将真实漏洞的发现速度提升了 3 倍。
融入企业安全控制平面
MDASH 的正式发布不仅仅是功能成熟,更标志着微软将其整合进更大的 企业安全控制平面。通过连接 Defender for Cloud、GitHub Advanced Security、Microsoft Purview 以及新推出的 Agent 365 代理管理平台,MDASH 的发现结果可以自动触发工作流——例如在 GitHub 中创建 Issue、在 Defender 中生成事件、或通过 Purview 标记敏感数据泄露风险。
这种 端到端自动化 对于大型企业尤为重要。安全团队无需在不同工具之间切换,即可从漏洞发现到修复跟踪实现全链路闭环。微软还计划在后续版本中引入 自适应修复建议,即 AI 代理不仅指出问题,还能直接生成补丁代码或配置修改方案。
行业影响与展望
MDASH 的发布标志着 AI 安全代理 从实验性工具走向企业级主流。与 CrowdStrike、Palo Alto Networks 等竞争对手的纯规则或单一模型方案不同,微软押注于 代理生态的多样性 和 系统集成深度。其优势在于:
- 微软生态绑定:Azure、GitHub、Office 365 用户可无缝接入
- 持续学习:代理会基于实际攻击模式自动更新
- 开放扩展:第三方安全厂商可开发自定义代理
不过,MDASH 也面临挑战:代理数量越多,系统复杂度越高,编排与协调 将成为关键瓶颈。此外,AI 代理本身的安全性(即“守护代理的代理”)也需要持续投入。
总体而言,Build 2026 的 MDASH 发布是微软在 AI 驱动安全 领域的重要里程碑,它让“AI 代理”不再只是概念,而是真正可落地、可规模化的企业安全基础设施。