Microsoft kembali menunjukkan bahwa kecerdasan buatan bisa dipakai untuk memperkuat pertahanan, bukan hanya mempercepat pekerjaan. Lewat sistem bernama MDASH, perusahaan itu berhasil menemukan 16 celah pada Windows sebelum kerentanan tersebut sempat dipakai pihak lain.
Temuan ini penting karena bukan sekadar jumlah bug yang ditemukan, melainkan jenis dan letaknya. Empat di antaranya tergolong kritis, dan sebagian besar berada di komponen inti Windows yang dapat dijangkau lewat jaringan tanpa kredensial, sehingga risikonya jauh lebih besar bila terlambat ditangani.
Microsoft sudah menambal seluruh kerentanan itu dalam Patch Tuesday pada 12 Mei. Keesokan harinya, Satya Nadella membagikan kabar tersebut di X dan menyoroti hasil kerja sistem keamanan berbasis AI itu.
MDASH bekerja seperti tim keamanan virtual
MDASH adalah singkatan dari Multi-model Agentic Scanning Harness. Sistem ini dibuat oleh tim Autonomous Code Security Microsoft, dengan beberapa anggota yang sebelumnya juga terlibat di Team Atlanta, pemenang hadiah DARPA AI Cyber Challenge senilai 29,5 juta dolar AS.
Pendekatan MDASH tidak bergantung pada satu model untuk memindai kode secara langsung. Lebih dari 100 agen khusus dijalankan di atas gabungan model frontier dan distilled, lalu masing-masing diberi tugas berbeda, mulai dari mencari cacat, menguji temuan, hingga membuktikan apakah sebuah bug benar-benar dapat dieksploitasi.
Microsoft baru menampilkan hasil kepada insinyur manusia setelah seluruh verifikasi selesai. Pola ini dinilai penting karena sejumlah kelemahan Windows membutuhkan penalaran lintas banyak jalur kode, sesuatu yang sering terlewat oleh pemindai standar.
Celah menyentuh komponen inti Windows
Ke-16 kerentanan itu tersebar di Windows TCP/IP stack, layanan IKEEXT IPsec, HTTP.sys, Netlogon, Windows DNS, dan klien Telnet. Dari jumlah tersebut, sepuluh berada di kernel-mode, dan banyak yang bisa dijangkau lewat jaringan tanpa autentikasi.
Dua kerentanan kritis menjadi sorotan utama. CVE-2026-33827 berada di tcpip.sys dan dipicu oleh paket IPv4 yang dirancang khusus, sedangkan CVE-2026-33824 adalah kasus double-free sebelum autentikasi di layanan IKEEXT yang dapat diakses lewat UDP port 500 pada mesin yang menjalankan RRAS VPN, DirectAccess, atau Always-On VPN.
Keduanya bisa berujung pada eksekusi LocalSystem. Dua celah kritis lain berada di Netlogon dan Windows DNS Client, masing-masing dengan skor CVSS 9,8.
Mengapa pemindai biasa bisa melewatkannya
Microsoft menyebut temuan seperti ini bukan jenis bug yang umumnya muncul dari pemindai standar. Celah di tcpip.sys, misalnya, memerlukan penalaran atas tiga jalur kode yang berjalan bersamaan dan semuanya membebaskan objek yang sama.
Kasus di IKEEXT bahkan melibatkan enam berkas sumber berbeda. Kombinasi banyak file dan banyak jalur eksekusi itu menjelaskan mengapa pendekatan model tunggal sering tidak cukup untuk menemukan bug yang benar-benar dapat dieksploitasi.
Hasil pengujian menunjukkan performa tinggi
Dalam pengujian CyberGym milik UC Berkeley yang berisi 1.507 tugas reproduksi kerentanan dunia nyata, MDASH mencatat skor 88,45 persen. Hasil itu menempatkannya di posisi teratas papan peringkat publik, di atas Anthropic Mythos Preview yang meraih 83,1 persen dan GPT-5.5 dari OpenAI dengan 81,8 persen.
Pada pengujian privat terhadap basis kode driver Windows bernama StorageDrive yang belum pernah dirilis ke publik, MDASH menemukan seluruh 21 kerentanan yang sengaja ditanam tanpa false positive. Pada kumpulan kasus MSRC yang telah dikonfirmasi selama lima tahun di clfs.sys dan tcpip.sys, tingkat recall-nya mencapai 96 persen dan 100 persen.
Akses masih terbatas, persaingan ikut memanas
Saat ini MDASH masih berada dalam private preview terbatas untuk sekelompok kecil pelanggan enterprise. Microsoft menyebut ketersediaan yang lebih luas akan menyusul dalam beberapa bulan ke depan, dan sistem ini bersifat model-agnostik sehingga model dasarnya bisa diganti tanpa membangun ulang pipeline.
Langkah Microsoft hadir di tengah persaingan serupa dari Anthropic lewat Project Glasswing dan OpenAI lewat Daybreak, yang juga berjalan dengan akses terbatas. Di sisi lain, ancaman ofensif juga terus bergerak setelah Google mengonfirmasi adanya zero-day pertama yang diketahui dikembangkan AI untuk kampanye eksploitasi massal yang menargetkan bypass 2FA pada alat administrasi web yang banyak dipakai.
Source: www.notebookcheck.net
