Esta semana Microsoft Security publicó algo que vale la pena pararse a leer: MDASH, su sistema agéntico de detección de vulnerabilidades, encontró 16 fallas reales en Windows — incluidos cuatro RCE críticos — que terminaron parcheados en el Patch Tuesday de este mes. Desde mi punto de vista, esta es de las noticias más interesantes que vi en mucho tiempo del lado del uso de IA aplicada a seguridad ofensiva interna.
Qué es MDASH
MDASH (Multi-model Agentic Scanning Harness) es una arquitectura armada por la Agentic Security division de Microsoft, liderada por Taesoo Kim. La idea es simple en el concepto y compleja en la ejecución: en vez de usar un único modelo de IA para encontrar bugs, MDASH orquesta más de 100 agentes especializados — algunos basados en modelos frontier, otros en modelos destilados — que trabajan en paralelo sobre código real.
La frase que me quedó dando vueltas, de la propia nota de Microsoft, es esta:
“The harness does the work, and the model is one input.”
Microsoft Security Blog
Es decir: la arquitectura del sistema vale más que el modelo individual. Eso, para los que venimos del lado del desarrollo agéntico, no sorprende — pero verlo escrito por Microsoft, aplicado a algo tan delicado como buscar 0-days en Windows, es un cambio cualitativo.
Los números que me hacen ruido (en el buen sentido)
- 16 vulnerabilidades encontradas y parcheadas en este Patch Tuesday (2 críticas con potencial de RCE: CVE-2026-33824 con CVSS 9.8 y CVE-2026-33827 con CVSS 8.1).
- 88,45% de éxito en CyberGym, el benchmark público de 1.507 vulnerabilidades reales — unos 5 puntos arriba del competidor más cercano.
- 96% de recall histórico sobre CLFS y 100% sobre TCP/IP de los últimos 5 años de casos MSRC. Eso es prácticamente confirmar que el sistema reproduce el hallazgo humano.
- 21 de 21 vulnerabilidades identificadas en StorageDrive, con cero falsos positivos.
Por qué importa
Desde mi punto de vista, esto cambia el balance ofensivo/defensivo. Hasta hoy, el discurso dominante era “la IA va a ayudar a los atacantes a encontrar bugs más rápido”. Lo que MDASH muestra es la otra cara: los defensores también pueden usar agentes en paralelo, escanear continuamente y cerrar el gap antes de que el bug se reporte públicamente.
La pregunta interesante no es si Microsoft va a ganar esta carrera, sino qué van a hacer las empresas que no tienen un equipo de Agentic Security propio. Y la respuesta, para mí, está en dos caminos: usar herramientas de terceros que lleguen al mismo lugar (van a aparecer pronto), o aprender a armar pipelines agénticos internos sobre el código propio. Spoiler: este segundo camino es de lo que hablamos en el curso AI-First Builders Lab, salvando las distancias.
Para los que quieran ir a la fuente
La nota original de Microsoft está bien escrita y vale la pena: Defense at AI speed: Microsoft’s new multi-model agentic security system tops leading industry benchmark. Si querés acceso al preview, está disponible en aka.ms/AI-drivenScanningHarness.
La defensa también se aceleró
Estamos entrando en una era donde la velocidad de defensa va a depender de cuánto agente puedas correr en paralelo sobre tu propio código. MDASH es la primera muestra pública seria de un actor grande mostrando cómo se hace. Vale la pena seguir el hilo de cerca.
