Hace unos días Microsoft presentaba MDASH (Multi-Model Agentic Scanning Harness), un sistema multimodelo y multiagente diseñado para localizar vulnerabilidades de software de forma automatizada y a gran escala. Aseguraba la compañía asegura que esta plataforma ya ha contribuido a descubrir 16 nuevas vulnerabilidades en Windows —cuatro de ellas críticas— y que ha obtenido la puntuación más alta registrada hasta ahora en CyberGym, uno de los benchmarks públicos utilizados para medir capacidades de IA aplicadas a ciberseguridad.
“El modelo es una entrada. El sistema es el producto”, resumía la compañía en la presentación técnica de MDASH, dejando claro que el verdadero valor ya no está únicamente en el modelo fundacional, sino en de sistemas capaces de coordinar múltiples agentes especializados para ejecutar tareas complejas de investigación ofensiva y análisis de código
Un sistema formado por más de 100 agentes especializados
A diferencia de otros enfoques basados en un único LLM, MDASH funciona como una arquitectura distribuida en la que colaboran más de 100 agentes especializados apoyados sobre distintos modelos fundacionales y modelos destilados. Cada agente asume funciones concretas; algunos analizan repositorios y estructuras de código; otros buscan rutas vulnerables, validan hipótesis, generan pruebas de concepto o intentan refutar hallazgos detectados por otros agentes.
Según explica Taesoo Kim, vicepresidente de Agentic Security en Microsoft, “la detección de vulnerabilidades mediante IA ha pasado de ser una curiosidad de investigación a convertirse en defensa de producción a escala empresarial”. El directivo añade además que “la ventaja duradera está en el sistema agéntico alrededor del modelo, no en un único modelo por sí mismo”.
Ese enfoque hace que el funcionamiento de MDASH se parezca más al trabajo coordinado de un equipo de investigación ofensiva que al comportamiento de un chatbot tradicional. Microsoft explica que los agentes incluso “discuten” entre sí para reducir falsos positivos. Cuando uno detecta una posible vulnerabilidad, otros intentan validarla o desmontarla antes de elevar el hallazgo.
Durante las pruebas internas, la compañía asegura que el sistema fue capaz de identificar las 21 vulnerabilidades introducidas deliberadamente en un controlador de pruebas sin generar falsos positivos. También alcanzó un 96 % de recall sobre vulnerabilidades históricas conocidas en clfs.sys y un 100 % en tcpip.sys.
Vulnerabilidades reales detectadas en Windows
Uno de los elementos más relevantes del anuncio es que MDASH ya habría participado directamente en la detección de vulnerabilidades incorporadas al Patch Tuesday de mayo de 2026.
Entre los componentes afectados aparecen piezas especialmente sensibles del stack de red y autenticación de Windows, como tcpip.sys, IKEEXT, HTTP.sys, Netlogon o DNS.
Microsoft afirma que cuatro de los fallos encontrados estaban catalogados como críticos y podían permitir ejecución remota de código sin autenticación previa. Entre ellos menciona CVE-2026-33827, un fallo use-after-free en el stack TCP/IP de Windows, y CVE-2026-33824, relacionado con el servicio IKEv2 de IPsec.
La compañía también destaca que parte del equipo de Autonomous Code Security había trabajado previamente en el DARPA AI Cyber Challenge, uno de los proyectos más conocidos alrededor de automatización ofensiva y defensiva mediante inteligencia artificial.
Del copiloto a los sistemas autónomos de seguridad
El lanzamiento de MDASH refleja además un cambio más profundo dentro del mercado. Durante los últimos años, buena parte de la IA aplicada a ciberseguridad se había concentrado en asistentes SOC y copilotos conversacionales capaces de resumir alertas o ayudar en tareas de análisis.
MDASH apunta hacia otra fase: sistemas capaces de ejecutar tareas complejas de forma prácticamente autónoma. Plataformas capaces de investigar, validar y priorizar riesgos casi como lo haría un equipo humano.
Y Microsoft no es la única compañía explorando ese terreno. Fabricantes y laboratorios llevan meses acelerando proyectos ligados a “agentic AI”, es decir, arquitecturas capaces de coordinar múltiples agentes especializados para operar seguridad a gran escala. La diferencia es que Microsoft está conectando este enfoque directamente con Windows, Azure, GitHub y todo su ecosistema de desarrollo y seguridad.
Mythos y el impacto sobre el mercado
Inevitablemente, la aparición de MDASH recuerda a Mythos AI, uno de los proyectos de IA ofensiva que más debate ha generado en los últimos meses. Sin embargo, ambos enfoques responden a objetivos distintos.
Mientras Mythos se presentó como una capacidad avanzada de razonamiento ofensivo generalista, MDASH está mucho más centrado en automatizar investigación de vulnerabilidades y análisis de código.
Pero el lanzamiento de Microsoft también tiene implicaciones importantes para el mercado de ciberseguridad. La compañía está acercando capacidades avanzadas de investigación ofensiva a una escala que hasta ahora solo podían asumir equipos muy especializados. Eso introduce presión sobre herramientas tradicionales de análisis estático y dinámico de código, plataformas AppSec, soluciones de gestión de vulnerabilidades, fuzzing automatizado e incluso parte del mercado de pentesting automatizado.
Además, Microsoft juega con ventaja. Controla sistemas operativos, cloud, identidad, plataformas de desarrollo y herramientas de IA, lo que le permitiría integrar capacidades como MDASH directamente dentro del ciclo de desarrollo y operación de sus clientes.
El impacto para Microsoft
MDASH conecta con Defender, Security Copilot, GitHub, Azure, Intune y el resto del ecosistema de desarrollo seguro de la compañía, reforzando el posicionamiento de Microsoft Security como plataforma integrada.
El anuncio también sirve para demostrar que la apuesta multimillonaria de Microsoft por IA generativa y agentes autónomos no está limitada a productividad o asistentes de oficina, sino que puede trasladarse a áreas críticas como la ciberseguridad.
Otro de los posibles impactos aparece en GitHub y el mercado DevSecOps. Si Microsoft termina integrando capacidades similares dentro de GitHub Copilot, GitHub Advanced Security o Azure DevOps, la seguridad del código podría convertirse en un proceso mucho más automatizado e integrado dentro del propio flujo de desarrollo.
Eso podría alterar especialmente el mercado de secure coding y afectar a proveedores especializados en revisión manual de vulnerabilidades, SAST tradicional o validación avanzada de código.
