Microsoft sta ampliando l’impiego dell’intelligenza artificiale nei processi di sicurezza di Windows per individuare le vulnerabilità con maggiore anticipo, ridurre il tempo necessario alla loro correzione e limitare la finestra durante la quale una falla può essere sfruttata come zero-day. L’obiettivo è intervenire prima che gli attaccanti riescano a trasformare un errore nel codice in un exploit utilizzabile contro utenti, imprese e infrastrutture.
L’evoluzione degli strumenti di intelligenza artificiale sta infatti modificando la velocità con cui le vulnerabilità possono essere scoperte e analizzate. Gli stessi modelli che aiutano i ricercatori e i produttori di software a individuare problemi complessi possono essere utilizzati anche dagli attori malevoli per cercare punti deboli, generare codice di attacco e accelerare lo sfruttamento di falle non ancora corrette. Microsoft intende quindi integrare l’AI lungo l’intero processo di gestione delle vulnerabilità, dalla scansione iniziale del codice fino alla proposta, alla verifica e alla distribuzione delle correzioni.
Uno degli strumenti centrali di questa strategia è MDASH, acronimo di Multi-Model Agentic Scanning Harness. Si tratta di un sistema sviluppato da Microsoft Security che utilizza più modelli di intelligenza artificiale, compresi modelli di terze parti specializzati nella ricerca di vulnerabilità. La scelta di combinare modelli differenti consente di confrontare più valutazioni dello stesso problema e di ridurre la dipendenza dai risultati prodotti da un unico sistema.
Per utilizzare MDASH sull’estesa base di codice di Windows, Microsoft ha realizzato un’infrastruttura cloud dedicata alle attività di scansione e verifica. Una prima pipeline analizza i file binari critici del sistema operativo e identifica i potenziali difetti di sicurezza. I risultati vengono quindi sottoposti a un processo di confronto tra modelli appartenenti a famiglie differenti, descritto come un dibattito multimodello, attraverso il quale i sistemi valutano reciprocamente la validità delle vulnerabilità individuate.
I casi che superano questa prima selezione vengono trasferiti a una seconda pipeline progettata specificamente per Windows. Questa fase ha il compito di dimostrare concretamente l’esistenza del problema e di eliminare i falsi positivi ancora presenti. Soltanto le segnalazioni considerate più affidabili e supportate da un livello elevato di evidenza vengono inviate ai tecnici incaricati di esaminarle.
L’automazione permette di analizzare un numero molto maggiore di possibili vulnerabilità rispetto ai processi esclusivamente manuali e di abbreviare l’intervallo tra la prima segnalazione e la revisione da parte del personale specializzato. Ridurre questo intervallo significa anche diminuire il periodo durante il quale una vulnerabilità sconosciuta o non ancora corretta può essere scoperta e sfruttata dagli attaccanti.
L’intelligenza artificiale non viene impiegata soltanto per localizzare le falle. Microsoft la sta inserendo anche nelle fasi successive del processo di correzione, per aiutare gli sviluppatori a comprendere più rapidamente le cause di un malfunzionamento, proporre modifiche coerenti con il codice circostante, cercare problemi simili in altre parti della piattaforma e selezionare i test di regressione maggiormente interessati dalla modifica.
I test di regressione servono a verificare che una correzione non introduca nuovi errori o comprometta funzionalità che in precedenza operavano correttamente. L’AI può quindi contribuire a stabilire quali componenti, applicazioni e configurazioni debbano essere controllate con particolare attenzione dopo la modifica di una parte del codice.
Microsoft sta inoltre investendo in strumenti specifici per Windows e in ulteriori agentic harness, ossia infrastrutture capaci di coordinare diversi agenti di intelligenza artificiale durante la generazione e la validazione delle patch. L’obiettivo di lungo periodo è costruire un processo più integrato, nel quale la scoperta della vulnerabilità, la proposta della correzione e la verifica tecnica possano essere parzialmente automatizzate.
L’intervento umano rimane però centrale. Gli sviluppatori continueranno a controllare il codice, valutare la gravità effettiva delle segnalazioni, prendere decisioni basate sul rischio e verificare che le patch rispettino gli standard di qualità richiesti. L’intelligenza artificiale viene quindi utilizzata come strumento di supporto all’attività degli ingegneri, non come sistema autonomo autorizzato a modificare e distribuire direttamente il codice di Windows.
Ogni aggiornamento deve infatti funzionare su un numero estremamente ampio di dispositivi, applicazioni, configurazioni hardware e ambienti aziendali. Una patch capace di chiudere una vulnerabilità potrebbe contemporaneamente causare problemi di compatibilità, errori applicativi o instabilità del sistema. Per questo motivo, l’aumento della velocità nella scoperta e nella correzione delle falle deve essere accompagnato da procedure di validazione altrettanto rigorose.
Gli aggiornamenti continueranno a essere testati in diversi ambienti, compreso il Security Update Validation Program, oltre che attraverso i sistemi interni di Microsoft. Le verifiche riguardano la compatibilità delle applicazioni, l’affidabilità del sistema, il comportamento delle patch in scenari reali e la possibilità che una correzione produca effetti indesiderati prima della distribuzione su vasta scala.
Microsoft sta inoltre aggiornando le pratiche del proprio Secure Development Lifecycle, il processo attraverso cui la sicurezza viene integrata nella progettazione e nello sviluppo del software. Le nuove indicazioni dovranno considerare esplicitamente le tecniche di attacco abilitate dall’intelligenza artificiale e i possibili percorsi di sfruttamento che un agente automatico potrebbe individuare. La ricerca delle vulnerabilità dovrà quindi diventare una parte continua della progettazione, della revisione e del miglioramento di Windows, anziché essere trattata come un’attività separata eseguita soltanto in determinati momenti.
L’impiego più esteso dell’intelligenza artificiale potrebbe produrre un aumento del numero di problemi individuati e, di conseguenza, delle correzioni incluse negli aggiornamenti mensili di sicurezza. Gli utenti potrebbero quindi vedere Patch Tuesday più consistenti, con un volume maggiore di interventi. Questo aumento non indicherebbe necessariamente un peggioramento della sicurezza di Windows, ma potrebbe riflettere una capacità più elevata di trovare e correggere difetti che in precedenza sarebbero rimasti nascosti più a lungo.
L’approccio viene esteso anche oltre Windows. Microsoft sta collaborando con i gruppi che utilizzano sistemi di scansione basati sull’AI nelle diverse divisioni dell’azienda, condividendo risultati, metodologie e pratiche operative. Il lavoro coinvolge anche il Microsoft Security Response Center, con l’obiettivo di migliorare l’intero percorso che va dalla scoperta della vulnerabilità all’apertura della segnalazione, dalla correzione fino alla validazione e alla distribuzione della patch.
Il cambiamento riflette una nuova fase della sicurezza informatica, nella quale difensori e attaccanti possono utilizzare strumenti automatici per analizzare grandi quantità di codice a velocità difficilmente raggiungibili dagli esseri umani. Per Microsoft, la risposta non consiste nell’affidare interamente la sicurezza all’intelligenza artificiale, ma nel combinare scansione automatizzata, infrastrutture multimodello, verifica tecnica e controllo umano per ridurre il tempo che separa la comparsa di una vulnerabilità dalla protezione effettiva degli utenti.
