微软Build 2026安全布局：MDASH、Agent 365，微软安全走到哪了

写完一段代码，提交 PR。CI/CD 开始运行。

代码扫描在另一个系统里排队。

等你收到告警，已经切到下一个任务了。

告警里写了什么？你可能根本没点开。

这是整个行业的潜规则：开发先行，安全殿后。

但是AI 把这个缺口撕得更大了。

代码产出在加速，漏洞产出也在加速。

人工审计追不上，事后修补补不完。

微软在 Build 2026 上给的答案，不是简单再加一个扫描器。

是把安全左移了。

100+ Agent 同时在读你的代码

近期最值得关注的，是 MDASH。

全称 Microsoft Security multi-model agentic scanning harness。

逻辑简单粗暴：不让一个模型找漏洞，让 100+ 个 AI Agent 用多个模型一起找。

发现。 多个 Agent 带着不同模型、不同视角扫同一段代码。有的盯内存安全，有的盯权限边界，有的盯数据流。同一个漏洞从三个角度交叉看，漏掉的概率比一个模型扫一遍低得多。

验证。 找到候选漏洞之后，另一组 Agent 上阵——不是确认"这里有 SQL 注入"，而是模拟攻击路径，测试真实环境里能不能被打通。这一步把"可能有问题"变成了"确实可以利用"。

证明。 输出不是告警列表，是可复现的攻击链。找到的漏洞，直接告诉你利用路径。

多模型是整套架构的成本核心。

SOTA 模型做重推理，低成本模型做高吞吐扫描——贵的干重活，便宜的扫大街。

速度和精度靠调度，不靠烧钱。

微软还说，MDASH 在 CyberGym 上从三周前的86% 提升到了 96.55%。

稳居第一。不过小编瞅了一眼，CyberGym官网尚未更新该分数。

安全告警，带着生产信号

MDASH 负责发现。下一步，Defender 和 GitHub Code Security 的集成负责把发现变成行动。

变化就一个：安全告警带着生产信号来到开发者面前。

以前的代码安全扫描告诉你"第 42 行有个 SQL 注入风险"。

现在告警会加上："这个服务暴露在公网上，连接的数据库打了敏感数据标签。"互联网暴露、数据敏感性——这些运行时信号自动关联到代码漏洞上。优先级不需要人猜了。

修复环节同样被重构。GitHub Copilot Autofix 直接生成修复建议，Copilot cloud agent 自动分配和验证。安全团队不用追着开发者问"那个洞补了没"，开发者也不用切换工具去查告警上下文。基于角色的访问控制确保越多人能看到漏洞，越需要控制谁能动手。

安全从"最后一关"变成了"每一步都在"。

Agent 正在企业落地

Agent 能读文件、跑命令、调 API、访问网络。

不需要管理员权限就能干很多事。

而大多数企业是——开发者自己装了 Claude Code 或别的agent，IT 部门完全不知道。

这难道不是漏洞？

微软在 Build 2026 上拿出的 Agent 365 体系，试图给这个局面装上治理框架。

Agent 365 SDK。

开发者可以把可观测性、访问控制和合规执行直接集成到 Agent 开发工作流里。安全不是 Agent 跑起来之后再加的策略——在开发阶段就写进去了。

执行层的控制由 MXC SDK 承担。

在操作系统层做进程隔离和会话隔离，让 IT 团队能定义 Agent 能在哪跑、能碰什么。

Windows 365 for Agents。

Agent 跑在一台完全隔离的 Cloud PC 上，跟本地环境隔离——Agent 就算出了问题，也出不了这台云电脑。

加上 Intune 策略管理 Agent 运行时行为，三道防线（SDK 定义策略 → OS 执行隔离 → 物理隔离）构成了纵深。

Agent Registry 是另一个关键组件。由 Defender、Entra 和 Intune 在终端、身份管理和设备管理层联合扫描，自动发现企业网络里的非托管 Agent。

Intune 策略可以直接封禁 OpenClaw Agent 的常用执行路径。

Defender 还提供了 Agent 暴露面图谱——让安全团队不只看到有多少 Agent，还能看到它们之间怎么连接。

Purview：在 Agent 碰数据之前就拦下

数据保护是 Agent 治理的下半场。微软 Purview 在这层做了四件事。

第一，运行时 DLP for Agent 提示词。 Purview 在 Agent 处理提示词之前，检测其中是否包含敏感信息——如果有，直接阻断。敏感信息不会给到 AI。

第二，数据安全态势管理（DSPM）。 发现哪些数据暴露了、标签对不对、哪些路径 Agent 不该碰。Purview 的风险信号已经集成进了 Foundry——开发者在构建 Agent 时就能看到数据风险提示。

第三，Agent 行为审计。 Purview Audit 记录所有 Agent 活动。出了事可以倒查，没出事可以做合规。

第四，对主流 agent 的专项风险检测。 Claude Code、GitHub Copilot、OpenAI Codex 和 OpenClaw，Purview 提供这些 Agent 如何访问敏感数据的可见性、对危险提示词的运行时保护，以及不安全 Agent 行为的洞察。

模型本身也要过安检

代码安全有了。Agent 安全有了。

微软还把安全往前提了一步——模型部署前先做安全检查。

Defender AI 模型扫描检查模型工件——不管是 Azure 原生还是你自己的——有没有被植入后门、有没有已知漏洞。

逻辑跟代码安全一样：检查前移，不做事后修补。

落地为时尚早

微软在 Build 2026 上画的安全蓝图是完整的。

但现状是：多数产品尚未全面开放。

不过对开发者和安全团队来说，Build 2026 这场安全发布值得关注的不是某个产品，而是一个方向：安全正在从"专门团队的事后工作"变成"每个开发者的日常"。

创新与安全之间不应存在取舍。

安全左移，才刚刚开始。

参考资料：https://www.microsoft.com/en-us/security/blog/2026/06/02/microsoft-build-2026-securing-code-agents-and-models-across-the-development-lifecycle/

声明：本文来自玄月调查小组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。