微软推出全新代码安全系统MDASH，100%识别率引爆安全圈

5月13日，微软自主代码安全团队低调发布了一款名为MDASH的新型代码安全检测系统。没有炫酷的发布会，没有营销话术，但内部测试数据却让一线安全工程师们震惊——它在真实代码环境中，找到了16个连主流AI模型都没发现的漏洞，其中4个是能远程执行代码的高危风险。

MDASH的核心不是靠一个“超级AI”猜漏洞，而是让100多个专精不同任务的轻量模型协同工作。有的负责清洗代码、有的专门盯内存泄漏、有的专注验证补丁是否真能修复问题。每个模型都像一个经验丰富的安全工程师，只做自己最拿手的活，再把结果汇总。这种“团队作战”方式，比单靠一个大模型盲目扫描更稳、更快、更准。

真实测试：100%识别，零误报，连微软自己都没想到

在CyberGym公开基准测试中，MDASH的表现压过了Anthropic的Mythos和传闻中的GPT-5.5。但真正让人侧目的是微软内部的“陷阱测试”——工程师们在测试代码里偷偷埋了21个漏洞，包括一些极隐蔽的竞态条件和类型混淆问题。结果MDASH全部找到，一个没漏，也一个没错报。

“我们以为能抓到18个就不错了，”一位参与测试的微软安全工程师说，“结果它连我们自己都忘了埋的那两个‘彩蛋’都挖出来了。”

更硬核的是历史数据回溯测试。在Windows内核驱动clfs.sys过去五年所有已公开漏洞中，MDASH召回了96%；而对tcpip.sys这个常年被攻击的网络协议栈，它100%精准识别了所有历史漏洞。这意味着，它不仅能找新问题，还能“记住”过去的经验。

已在微软内部实战，部分客户提前体验

目前，MDASH已经不是实验室里的Demo。它正在协助Windows、Azure和Office三大核心产品线的开发团队做代码审查。每天自动扫描数百万行代码，拦截了多个可能被利用的供应链风险。

微软已向部分企业客户（主要为金融与政府机构）开放受限预览。据知情人士透露，已有客户在试用两周后，将MDASH集成进CI/CD流水线，替代了原先的商业扫描工具。“误报少了80%，修复效率翻倍，”一位安全主管说，“我们终于不用每天花三小时筛假警报了。”

为什么它不一样？没有“AI幻觉”，只有真实结果

市面上很多AI安全工具喜欢吹“智能分析”“自动修复”，但实际输出一堆模糊提示，工程师还得自己去查文档、翻日志。MDASH不玩虚的：它给出的每个漏洞报告，都附带精确的代码行号、触发路径、复现步骤，甚至推荐的修复方案，全部来自真实代码结构分析，不是“推测”出来的。

它不依赖海量训练数据堆砌，而是靠精巧的任务拆解和模型互补。一个模型擅长找缓冲区溢出，另一个专攻权限提升，第三个负责验证补丁有效性——它们彼此验证，互相纠错，最终输出的是经过多重校验的结论。

这不是“AI写代码”，而是“AI当安全审计员”。

未来：不只是微软的工具，更是行业的转折点

微软尚未宣布MDASH是否会开源或对外商用，但业内已开始讨论：当一个系统能以接近100%的准确率发现真实漏洞，且零误报时，传统的静态分析工具和依赖人工经验的代码审查，是否该重新评估了？

对开发者来说，MDASH的意义不只是多了一个扫描器——它可能意味着，未来你提交的每一行代码，都将被一群“数字专家”从多个角度反复推敲。不是为了找茬，而是为了让你的系统，真的更安全。