마이크로소프트가 MDASH(Multi-Model Agentic Scanning Harness)를 공개했다. 100개 이상의 특화 AI 에이전트를 파이프라인으로 연결해 소프트웨어 취약점을 찾는 시스템이다. 흥미로운 점은 ‘AI를 많이 붙였다’가 아니라, 서로 다른 역할의 에이전트들이 발견·반박·재현을 나누어 맡는 실행 구조다.
MDASH는 공격 면을 먼저 매핑한 뒤 감사 에이전트들이 취약점 후보를 찾고, Debater 에이전트들이 그 주장을 찬반으로 나누어 검증한다. 마지막에는 Evidence Leader가 실제 재현 증거를 모은다. 이 구조 덕분에 단일 모델의 직감에 기대지 않고, 거짓 양성을 줄이는 내부 논쟁 층을 설계에 넣었다.
성과도 숫자로 드러났다. 2026년 5월 Patch Tuesday 하루에 MDASH가 발견한 Windows 취약점 16개가 보고됐고, 그중 4개는 Critical이었다. tcpip.sys, ikeext.dll, netlogon.dll, dnsapi.dll처럼 네트워크에서 인증 없이 접근 가능한 경로까지 포함됐다. 커널 모드 취약점 10개라는 점도 단순 코드 검색기가 아니라 Windows 내부 지식과 재현 절차를 결합했다는 신호다.
다만 CyberGym 88.45% 1위라는 숫자는 조심해서 읽어야 한다. MDASH는 하나의 모델이 아니라 프레임워크다. 모델을 설정 파일로 교체해 비교할 수 있고, 커널 호출 규약이나 IPC 트러스트 경계 같은 도메인 지식은 플러그인으로 주입한다. 그러니 비교 대상은 ‘가장 똑똑한 모델 하나’가 아니라, 모델들이 싸우고 검증하고 증거를 남기는 시스템 설계다.
보안 자동화의 다음 경쟁은 더 큰 모델을 고르는 일이 아닐 수 있다. 누가 더 빨리 취약점을 말하느냐보다, 누가 그 주장을 반박하게 만들고, 재현하게 만들고, 사람에게 제출 가능한 증거로 바꾸느냐가 중요해진다. MDASH는 그 방향을 꽤 선명하게 보여준다.