Microsoftが、エージェント型の脆弱性発見・修正システム「codename MDASH」の最新成果を公開しました。1,507件の実世界脆弱性で構成されるCyberGymベンチマークで96.5%(any crash)を達成し、さらに新しい基盤モデルを組み合わせた追加実験では最大98.1%まで伸びる可能性が示されています。今月のPatch Tuesdayには、本システムが発見したHyper-V・Windowsカーネル・HTTP.sysなどのCVEが含まれているとされています。
CyberGym 96.5%の中身——スコアより「どこで詰まったか」
MDASHはMicrosoft Securityが開発する複数モデル協調型のスキャンシステムで、発見・検証・修正までを一気通貫で扱う設計です。前回発表時もCyberGymで業界トップを記録していましたが、今回はパイプライン側を作り直したうえで96.5%(any crash)に到達したと報告されています。
注目すべきは、ミスした3.5%(52件)の内訳が公開されている点です。
| 段階 | ミス件数 | 割合 |
|---|---|---|
| Scan(発見) | 8件 | 15.4% |
| Validate(検証) | 10件 | 19.2% |
| Prove(PoC生成) | 34件 | 65.4% |
詰まりの大半はPoC(概念実証)生成段階に集中しています。IVF/AV1・WPG・フォント・PDFといった構造化バイナリ入力を要する標的では、フォーマット検証を通しつつ脆弱コードパスに到達する入力を生成すること自体が難しく、タイムアウトやビルド失敗が頻発したと説明されています。
新モデルを組み合わせるとどこまで伸びるか
今回の本評価(Exp-0)は、パイプライン改善の効果を分離して測るため、前回ベンチと同じモデル構成のまま行われています。そのうえで、失敗した52件に対して新しいモデルを当てる追加実験が行われました。
- Experiment 1: Prepare/Scan/ValidateにGPT-5.4 / GPT-5.5 / GPT-5.4-mini / GPT-5.3-codex、ProveにClaude Opus 4.6を使用。52件中19件(36.5%)を解決し、Exp-0で解けた案件に退行がない前提で投影成功率は97.8%とされています。
- Experiment 2(GPT-5.5): ProveをGPT-5.5に差し替え、52件中21件(40.4%)を解決。投影成功率は97.9%。
- Experiment 2(GPT-5.5-cyber): ProveをGPT-5.5-cyberに差し替え、52件中23件(44.2%)を解決。投影成功率は98.1%。
ただしMicrosoft自身が「このデータセットだけで、これらのモデルがあらゆるPoC生成タスクで一貫して強いと結論づけるには不十分」と注釈しており、上記の97.8〜98.1%はあくまで「退行ゼロを仮定した投影値」である点には注意が必要です。
最大の伸びはScan段階の出力品質に表れたと報告されています。たとえば「arvo:3569」では、ベースラインが「destructorやクリーンアップ処理がfreeを試みた場合のリスク」と曖昧に書いていたのに対し、GPT-5.5は「210行目のpj_default_destructor(P,...)がP->paramsとQ (= P->opaque)をfreeする」と具体的な実行パスを特定したと紹介されています。
今月のPatch Tuesdayに混ざっているMDASH発見のCVE
ベンチマークの話と並行して、本システムは既にWindows・Azure・Identity各チームの実ワークフローに組み込まれているとされています。今月のPatch Tuesdayには、MDASHが発見に関与したという以下のCVEが含まれていると報告されています。
| CVE ID | コンポーネント | 種別 | CVSS |
|---|---|---|---|
| CVE-2026-45657 | Windows Kernel | Use-after-free / RCE | 9.8 |
| CVE-2026-47291 | HTTP.sys | Integer Overflow / RCE | 9.8 |
| CVE-2026-45648 | Active Directory Domain Services | Stack-based Buffer Overflow / RCE | 8.8 |
| CVE-2026-47289 | Remote Desktop Client | Heap-based Buffer Overflow / RCE | 8.8 |
| CVE-2026-45607 | Windows Hyper-V | Out-of-bounds Read / RCE | 8.4 |
| CVE-2026-45641 | Windows Hyper-V | Type Confusion / RCE | 8.4 |
| CVE-2026-47652 | Windows Hyper-V | Heap-based Buffer Overflow / RCE | 8.2 |
| CVE-2026-41108 | Windows DNS Client | Heap-based Buffer Overflow / EoP | 7.0 |
| CVE-2026-45608 | Windows DHCP Client | Out-of-bounds Read / Information Disclosure | 6.8 |
| CVE-2026-45634 | Windows DHCP Client | Out-of-bounds Read / Information Disclosure | 5.5 |
カーネル・Hyper-V・HTTP.sysといった、手動レビューでは負荷が大きい深部に9.8/8.4クラスのRCEが並んでいる点が特徴です。Windowsセキュリティチーム(kernel・Hyper-V・networking stack)からは「MDASHにより、これまで不可能だった深さでWindows規模の脆弱性ハンティングを実行できるようになった」とのコメントが紹介されています。Microsoftは「人手のレビューを置き換えるものではなく、カバーしきれない領域に届かせるための仕組み」と位置づけています。
ここから先の課題——Prove段階とベンチマーク自体
Microsoftが次の焦点として挙げているのは、最大のボトルネックであるProve段階の強化です。具体的には以下が示されています。
- OSS-Fuzzなどの既存ファジングパイプラインとの統合。ビルド環境やシードコーパスを使い回し、PoC生成を効率化する狙いです。なおこのアプローチはCyberGym評価時には適用されていません(既知PoCを暗黙に再利用する可能性があるため)。
- lex/yacc等で生成された非典型コード成果物への対応拡張。現状ではC/C++など従来言語の解析は得意な一方、これら生成物への対応はまだ不十分とされています。
- エージェントの推論・出力品質の改善。曖昧な記述を減らすため、構造化出力の徹底と検証チェックの追加が予定されています。
加えてベンチマーク側にも踏み込む方針が示されており、現実の脆弱性発見にある「曖昧さ・情報の欠落・進化するソフトウェア生態系」を捉える評価枠組みを進めるとしています。著者であるTaesoo Kim氏(Vice President, Agentic Security, Microsoft)は、Georgia Techのサイバーセキュリティ学部教授(休職中)で、DARPA AI Cyber Challenge(AIxCC)で総額600万ドルの賞金を獲得したTeam Atlantaを率いた人物です。
現時点では、CyberGym 96.5%は「測定済みの確定値」、新モデル追加による97.8〜98.1%は「Exp-0で解けた案件に退行がないことを前提とした投影値」と切り分けて読むのが妥当です。MDASHはまだプライベートプレビュー段階のため、実環境での再現性や、Patch Tuesdayに継続的にCVEを供給し続けられるかが、次の数か月の判断材料になります。続報を待ちましょう。
ベンチマーク基盤「CyberGym」の評価設計と実績
CyberGymはUC BerkeleyのSunblaze Labが開発し、ICLR 2026で発表された大規模評価基盤です。188のソフトウェアプロジェクトから集めた1,507件の実世界脆弱性で構成され、いずれもGoogleのOSS-Fuzzに由来する実在のバグが用いられています。
評価手法は厳格な実行ベースで、次の手順で合否が決定されます。
- エージェントが生成したPoCを、未パッチビルドとパッチ済みビルドの両方で実行します
- 未パッチビルドでサニタイザがクラッシュを検知し、かつパッチ済みビルドではクリーンに完走した場合のみタスク通過とみなします
- LLMによる主観的判定段階は介在させず、実挙動だけで合否が決まる設計になっています
静的な評価指標にとどまらない点も特徴です。CyberGymの運用を通じて34件のゼロデイと18件の不完全パッチがすでに発見されており、ベンチマーク自体が実社会へのセキュリティ貢献を生み出す装置として機能しています。スコアの数字以上に、評価を回すこと自体が新たな脆弱性発見につながる構造が整えられています。
Defenderへの組み込みと拡大プレビュー
MDASHはBuild 2026(2026年6月2日)で公開プレビューを商用顧客向けに拡大しました。Microsoftによれば、MDASHは100を超える専門AIエージェントを複数モデルのアンサンブル上で協調動作させ、スキャン・検証・推論を分業する設計が取られています。
Defender PortalとGitHub Code Securityの統合
新しい連携では、MDASHが見つけた脆弱性はGitHub Code Security経由でDefender Portalへ直接ルーティングされ、以下のような本番リスクシグナルで自動的に強化されます。
- インターネット露出の有無
- 対象資産が扱うデータの機密性
SOC(セキュリティオペレーションセンター)の既存ワークフローに発見結果を流し込めるため、発見から優先度付け・対応までの動線が一段短くなっています。実例として2026年5月には、6つのソースファイルにまたがるWindowsのIKEEXTサービスの二重解放脆弱性CVE-2026-33824がMDASHにより検出されており、単一ファイルでは見えない横断的なバグに対する有効性が示されています。
Q&A
Q. MDASHは誰でも使えるのですか? 現時点ではプライベートプレビュー段階で、サインアップして参加する形式とされています。一般提供ではありません。
Q. 投影成功率97.8〜98.1%は確定した数値ですか? いいえ。Exp-0で解けた案件に退行が生じないことを仮定したうえでの投影値であり、Microsoft自身も「このデータセットだけで結論づけるには不十分」と注釈しています。確定しているのはベースライン96.5%(any crash)です。
Q. 今月のPatch TuesdayでMDASH発見のCVEはどれですか? Windows Kernel(CVE-2026-45657、CVSS 9.8)、HTTP.sys(CVE-2026-47291、CVSS 9.8)、AD DS(CVE-2026-45648、CVSS 8.8)、Remote Desktop Client(CVE-2026-47289、CVSS 8.8)、Hyper-V 3件、DNS Client、DHCP Client 2件の計10件が紹介されています。
出典
- Microsoft Source — Beyond the benchmark: Advancing security at AI speed
- Microsoft Security Blog — Microsoft Build 2026: Securing code, agents, and models across the development lifecycle
- arXiv — CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale
