Microsoft gaat meer Windows-patches uitbrengen omdat AI meer lekken vindt

Microsoft gaat per Windows-beveiligingsrelease meer patches uitbrengen, omdat het bedrijf meer kwetsbaarheden vindt met AI. Volgens de softwaremaker kunnen engineers hierdoor sneller beveiligingsproblemen oplossen.

Microsoft schrijft dat het met AI kwetsbaarheden sneller kan ontdekken en analyseren. De softwaremaker gebruikt Microsoft Security's multi-model agentic scanning harness (Mdash). Dat systeem scant kritieke Windows-bestanden op potentiële kwetsbaarheden en laat modellen van meerdere bedrijven de gaten verifiëren.

Mdash stuurt de geverifieerde lekken naar een aparte, Windows-specifieke pipeline, die de resterende valspositieve resultaten moet filteren. Daarna geeft het systeem de kwetsbaarheden door aan het engineeringteam.

Volgens Microsoft zorgt de automatisering ervoor dat het bedrijf meer potentiële kwetsbaarheden sneller kan beoordelen en verhelpen. Daardoor wordt de aanvalsperiode voor zerodayexploits korter. Microsoft bracht in juni al zijn grootste maandelijkse beveiligingsupdate ooit uit. Het bedrijf patchte vorige maand liefst 219 kwetsbaarheden.

Hack met AI. Bron: Sarayut Thaneerat/Getty Images
Bron: Sarayut Thaneerat/Getty Images

Door Imre Himmelbauer

Redacteur

10-07-2026 • 12:48

57

Submitter: Noxious

Reacties (57)

Sorteer op:

Weergave:

Gebruikt Microsoft in zijn pipeline al ai-agents om gaten te schieten in nieuwe pull requests, bijvoorbeeld? Het lijkt mij namelijk makkelijker om op voorhand al geautomatiseerd vulnerabilities te vinden voordat iets naar productie gaat. Natuurlijk is er nu wel een legacy die eerst moet worden weggewerkt.
Ja.

Sterker nog. Microsoft gebruikt voor een hoop zaken Azure DevOps. Zo stonden de repo's waarin de Windows code stond in Azure Repo's.

Microsoft heeft aangegeven dat het zelf de beweging inzet om ook de niet OSS zaken ook naar GitHub te verhuizen met als gevolg dat zaken zoals de GitHub Copilot Cloud agent en Agentic Workflows gaan werken.

Zie: https://devblogs.microsoft.com/devops/how-microsoft-is-migrating-repositories-to-github/
Ja. En dat is niets bijzonders want ik werk voor een klein MKB bedrijf en daar doen we dat ook al tijden.
Dat zou netzoals jullie, elke ontwikkelaar moeten doen die publieke diensten publiceert. Echter is dit niet voldoende. Theoretisch wekt het de indruk dat je veilig bent, maar in de praktijk kan er nog van alles misgaan.
Uiteraard, je hebt geen enkele garantie. Maar die heb je ook niet met menselijke reviews.

Je zit alleen al met het feit dat jij tegenwoordig als ontwikkelaar (of als bedrijf) maar een relatief klein deel van de code schrijft. Je hebt te maken met dependencies, frameworks, een OS waar je applicatie op draait* die talloze zaken voor je afhandeld waar bugs in kunnen zitten maar waar je geen enkele controle over hebt (storage, networking, etc..).

*Elke app draait op een OS.. ook al draai je het als container app of app service in Azure..
Ja inderdaad, daarom is extern scannen en periodiek ethisch hackers inschakelen echt geen overbodige luxe.
Dat is nog altijd eem keuze. Of je je software afhankelijk laat zijn van het werk van anderen , of dat je alles zelf schrijft.

Voor AI was het "wiel opnieuw uitvinden" niet iets wat je je eigen devs aan wou doen. Met AI zou die "wijsheid" wel weer eens getoetst kunnen worden. Want waarom zou je dat niet doen. AI is tenslotte bekend met gevuurproefde code en/of concepten om alles weer zelf te doen. Want het schrijven van de code zelf, dat is met AI een veel minder groot probleem.

En het verkrijgen van het benodigde inzicht voor toepassen van die veilige code, dat is aan de software architect. Opus en Sonnet schrijven code stukken rapper dan het overgrote deel van developers dat kan doen. En kunnen vast ook wel helpen met het snel verkrijgen van dat benodigde inzicht.
*Elke app draait op een OS.. ook al draai je het als container app of app service in Azure..
Absoluut mee eens. Dat mensen die onderlaag niet meer (willen) zien, betekent niet dat deze niet nodig is. De cloud is tenslotte ook niets meer dan "een computer van iemand anders". En we kunnen nog verder gaan door te stellen dat de cloud, in essentie, heel erg veel overeenkomsten heeft met main-frame computing, maar dan opgevoerd.

Andere discussie, dat weet ik. ;)
Dat je nieuwe code perfect is, lost niet automatisch de problemen in de al bestaande code base op. Ook in de nieuwste Windows zitten gewoon nog regels code die in de jaren negentig geschreven zijn.
ze moeten de legacy niet eerst wegwerken, maar beide naast elkaar doen. de legacy controleren middels deze pipeline. en nieuwe code ook gewoon direct checken en de pull request anders al direct afschieten of laten fixen door de ai agent.
@eagle00789 Het lijkt met de huidige hausse aan AI-gevonden bugs misschien zelf beter om eerst legacy eens grondig te ontdoen van bugs en dan pas nieuwe functionaliteit bouwen.
Tja, ze zullen wel moeten natuurlijk, aangezien kwaadwillenden vermoedelijk ook minder tijd nodig hebben om lekken te vinden, dankzij AI.
Kleine nuance is natuurlijk dat er binnen Windows op broncode gescand kan worden terwijl buitenstaanders dat niet kunnen.

Maar het zal zeker wel een stuk sneller gaan met het zoeken naar kwetsbaarheden vergeleken bij pakweg vijf jaar geleden
Ja, dat klopt, maar slechts ten dele. De MS Edge browser, toch best belangrijk voor de beveiliging van MS Windows, is onder de motorkap gewoon Chromium, en dus open source.
Het lijkt me wel een gevaar voor de stabiliteit van Windows om consistent onder tijdsdruk zoveel aanpassingen te moeten maken aan het systeem. Microsoft zal nooit in staat zijn om alle mogelijke configuraties te testen voor het releasen van een patch, dus dan is de kans dat er wat mis gaat steeds groter. Maar ze hebben ook geen andere keuze, ze moeten wel patchen.
Je mag kiezen: Of er is wellicht een kans dat er iets mis gaat met patchen of systemen worden door ongepatchte kwetsbaarheden mogelijk gecomprimiteerd omdat kwaadwillenden er al misbruik maken....
Microsoft zal nooit in staat zijn om alle mogelijke configuraties te testen voor het releasen van een patch, dus dan is de kans dat er wat mis gaat steeds groter.
Alle mogelijke configuraties is natuurlijk überhaupt onmogelijk. Al zou je maar 1 patch per jaar uitbrengen wordt dit al lastig. Je hoeft, afhankelijk van de patch, ook niet alles te testen. Als je een patch hebt Edge, is de kans vrij klein dat Paint daar last van heeft.
Als de patch van Edge betrekking heeft op hoe de verwerking van weergave van JPG-bestanden, dan is het redelijk safe aan te nemen dat dit weinig tot geen invloed heeft op de API voor locatievoorzieningen van Edge.

Uiteraard moet je met meer patches, meer testen, maar dat is een kwestie opschalen. Dus het zal wat lastiger worden, maar het hoeft niet per se te betekenen dat het voor meer problemen gaat zorgen.
Ze kunnen vast ook wel AI gebruiken om de test workflow te verbeteren/schalen 8-)
Dat is zeker mogelijk. Wanneer je een patch toepast, moet je vervolgens kijken, welke onderdelen er geraakt worden. AI-modellen zouden dat prima kunnen detecteren, en daarmee dus efficiënter patchen.
Ze kunnen vast ook wel AI gebruiken om de test workflow te verbeteren/schalen 8-)
Ja en nee.

Ja, want met testen heb je een 'happy flow' en daarvoor schrijft AI met gemak (schaalbare) unit-testen.

Nee, want met testen heb je ook een 'unhappy flow' en AI schrijft daarvoor ook unit-testen, maar deze zijn vaak basic. Iemand met wat creativiteit kan al gauw heel vervelende 'unhappy flows' in elkaar draaien waar geen enkele unit-test tegen bestand is.

Zelfde geldt voor regressie-testen. AI is ook nuttig daar voor de 'happy flow' en bij lange na niet zo nuttig met de 'unhappy flow'.

Je kan AI op creatieve modus draaien, maar dan produceeert het bagger code. Of je draait AI strikt, wat bruikbare/goede code oplevert, maar dan is er geen creativiteit te bespeuren. Zag laatst de rekening Anthropic voor deze maand bij het bedrijf waar ik voor werk. Teller stond al op 12000 Euro en we zijn nog niet eens op de helft van deze maand. En dat is met een man of 10 die aktief met AI werken. De rest doet er (nog) niets mee.

n dan moet je voor stellen dat dit al de kosten zijn voor veel te lage token-prijzen. Wanneer Anthropic/OpenAI de werkelijke token-prijzen gaan doorberekenen (zodat zij ook daadwerkelijk uit het rood komen), dat is een vertwintigvoudiging van die rekening nodig. Want zo duur zijn die tokens, gebaseerd op transformer-technologie die via GPUs werkt.

Kortom, met de huidige stand van zaken in het AI-landschap, gaat AI van OpenAI en Anthropic nooit winstgevend worden. Maar er zijn wat ontwikkelingen gaande, die, als deze goed uitpakken, het einde van OpenAI/Grok inluiden (en hopelijk Musk/Zuckerberg weer reduceren tot "ordinaire" miljonair). Oracle zal ook ophouden te bestaan en NVidia zal zich weer moeten focussen op het tevreden stellen van gamers, i.p.v. aandeelhouders/AI.

En dat is waar ik eigenlijk op hoop. Hoe slecht dat ook uit zal pakken voor de wereld-economie.
Wat ik me dan afvraag hoe ze te werk gaan gaan ze de geprogrammeerde software met audio zoeken, zodat ze hem op die manier vinden of gaan ze anders te werk?
Een van de hoofdredenen dat Microsoft is wat het is, komt door hun focus op "backwards compatibility".

Door oude code met nieuwe ogen en/of procudures te bekijken en aan te passen, waar ik op zich voor ben,zal voor Microsoft betekenen dat zij hun "backwards compatibility" niet meer waar kunnen maken. Of niet via de manier waarop zij willen of via contracten aan zijn gebonden.

Want als bedrijven daar niet op kunnen rekenen, wat is dan de echte meerwaarde van Windows in het bedrijf? Misschien niet eens een vraag die bij jou en/of in je bedrijf opkomt, maar voor jouw bedrijf zijn er 10 anderen die daar dan wel aan gaan denken.

Linux of Mac zullen dan automatisch een suk groter worden in het bedrijfsleven, elk voor hun eigen redenen. En dat is een significant deel van de inkomsten van Microsoft. Jij weet echter net zo goed dat Microsoft veel te geil is op veel geld binnen te harken via licenties en abonnementen.

Oude Windows code zal dus niet door de AI-oplossing van Microsoft worden nagekeken, ook al zou dat code-technisch beter zijn.
Lol

Weet niet of het voor ontwikkelaars ook zo is maar ik weet dat mensen binnen Microsoft 50% meer moeten opleveren en daarvoor moeten ze AI inzetten. Resultaat veel meer code en releases en bugs :+ En wordt Windows nou echt beter?
heb geen informatie over die targets, maar als we bijvoorbeeld kijken naar de bugfixes die Firefox verscheept doordat AI ( nadat ze toegang hadden gerkegen tot Claude Mythos) meer vulnerebilities vind, dan denk ik dat een soortgelijk fenomeen binnen Microsoft aan de gang is. illustratie: Screenshot-2026-05-07-at-8.38.31-AM.jpg (1414×770)

[Reactie gewijzigd door gise op 10 juli 2026 13:24]

Dit is overal aan de gang. Oracle heeft de vorige patch een week uitgesteld vanwege een aantal nog niet gefixte zeer kritieke bugs. Meteen hebben zij aangekondigd dat er vanaf nu maandelijks patches beschikbaar komen ipv elk kwartaal.
Maar is dat positief of negatief?
review: Gaten in het hart van Linux: vijf vragen over snel opeenvolgende kern...
review: Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden

Zonder ai waren de gaten er wel, alleen werden zo door hackers ook minder snel gevonden. Als ze wel bekend waren werden die voor veel flink geld verkocht als zero day aan grote partijen.
Nu hebben beide partijen dezelfde tools. Dus gaten zouden ook bij beide bekend moeten zijn. Kwestie van race tegen de klok.
Hackers hebben (als het goed is) geen toegang tot de broncode van bv MS. MS kan met tools hun eigen code doorlichten om vulnerebilities op te sporen. Dezelfde tools geldt alleen voor opensource. In dat opzicht hebben bedrijven een voordeel tov hackers. En grote bedrijven hebben veel meer (wit) kapitaal om grote AI modellen langdurig te draaien.
Security door obscurity is altijd de zwakste vorm. Zeker tov grotere landen, die hebben resources en het kan lang duren voor het publiek wordt dat een geheime dienst een exploit gebruikt.
Beide. De grote jongens hebben de tools en de resources om dit te mitigeren. Slimme hackers zullen daarom ook niet in gaan zetten om Oracle te kraken, maar juist de software van de kleinere aanbieders, waar ook veel mensen gebruik van maken. Er zijn bijvoorbeeld heel veel open source projecten die op heel veel plaatsen ingezet worden en die misschien ook zo lek als een mandje zijn (voor Mythos).
Bij Chromium staan de sluisdeuren ook open. Zie de bijna eindeloze rij van CVE's.

En het wordt pas echt spannend als er bij de patch geen CVE informatie wordt gepubliceerd.
Google loopt sinds eind maart door de Chromium code base en voor elke mogelijke integer-overflow en use-after-free in de ast wordt er een aanpassingen gemaakt wat een CVE oplevert om te zorgen dat er geen claim meer kan worden gedaan. Elke twee weken wordt er een release gedaan van z'n 80~100 van deze findings dus zal nog wel even doorgaan totdat alles weg is.

Het nadeel is alleen dat veel CISOs nu denken dat de wereld vergaat en alleen op nummers blijven hameren om hun KPI/KRI te halen. Hier gaan sommige nu zelfs zover om teams onder druk te zetten om het testen zoveel mogelijk te reduceren. Het wordt er niet gezelliger op voor veel teams helaas.
Je bron is ongetwijfeld je persoonlijke fantasie hier?

Feit is dat AIs de markt van vulnerabilities sterk aanwakkeren, en de tijd die het kost om een nieuwe 0-day te misbruiken alleen maar kleiner is geworden. Zat genoeg bedrijven, zoals Gise ook al aanhaalt, hebben het aantal kwetsbaarheden de lucht in zien schieten, iets dat ze alleen maar kunnen volgen door ook AI te gebruiken.
Ah, dat weet jij.... dat 'mensen binnen Microsoft' 50% meer moeten leveren.

Jij bent natuurlijk een Insider die ALLES weet van HEEL Microsoft
Nuh dat zette ik al in mijn comment. Het gaat op voor mijn contract personen
Waar komt die 'd' vandaan in Mdash?

Msmash was een betere benaming geweest!
Ik denk dat ik de updates maar met een maand vertraag.
Je vraagt je toch af of dit vooral in oude code ontdekt wordt, of dat de brandweer een zelf gecreeerde brand vindt.
Als Microsoft meer Windows patches gaat uitbrengen dan zou het beter zijn als men Hotpatch updates gratis maakt, zodat gebruikers minder hinder hebben bij het installeren van updates.
Ja precies wat ik al een tijd verwacht. De hele security wereld raakt in een stroomversnelling. Het verbaast me eigenlijk dat het nog niet eerder gebeurd is.

Ik ben blij dat ik er binnenkort uitstap (uit security, ik blijf wel in IT werken) want ik heb daar geen zin meer in. Al dat hyper gedoe, alles urgent.

[Reactie gewijzigd door Llopigat op 10 juli 2026 17:04]

Offtopic maar uit interesse: waarheen binnen de IT verhuis je dan?

Ikzelf raak ook steeds minder enthousiast door al dat ge-AI in de IT, maar ja, je bent al snel in de minderheid.
Offtopic maar uit interesse: waarheen binnen de IT verhuis je dan?
Daar ben ik nog over aan het onderhandelen. "AI" zal ik niet echt aan ontkomen. Maar security wel.

Ik verwacht dat dit gewoon een enorme omslag gaat geven op de volgende punten:
- Steeds sneller lopende iteraties (zie je hier ook terug in dit nieuwsbericht). Zowel aan de offensieve als defensieve kant. Er worden steeds sneller vulnerabilities ontdekt, die moeten sneller gepatcht worden omdat de exploits ook veel sneller ontwikkeld worden.
- Aanvallen die vroeger alleen tegen high value targets werden ingezet omdat ze een uitgebreide kill chain hebben, worden ook beschikbaar voor kleinere doelwitten omdat de dure menselijke aansturing vervangen wordt door AI. Dus ook kleine bedrijven krijgen te maken met dit soort dingen.
- Hele reeksen nieuwe soorten aanvallen door de nieuwe technieken (we kennen allemaal wel de "disregard previous instructions"-achtige prompt injection en dat is maar het begin)
- Halsoverkop ontwikkelen van AI toepassingen om maar de eerste te zijn zonder aandacht voor security (hetzelfde zag je in het begin van het IoT tijdperk)

Al met al zie ik security gewoon een hele woelige tijd tegemoet gaan en daar heb ik geen zin meer in.

[Reactie gewijzigd door Llopigat op 10 juli 2026 22:35]

Duidelijk! Zijn best nog wel valide punten die je daar opnoemt. We gaan het zien… en meemaken.

Bedankt om nog (zo uitgebreid) te willen reageren!
Als het waar is dat AI meer oplossingen vind is mooi nieuws maar misschien is het ook PR omdat het meeste nieuws over AI van onkosten tot milieu in het algemeen negatief is ? persoonlijk heb ik geen problemen met AI het kan een uitkomst zijn als ''middel'' maar de bedrijven denken te weinig na over de gevolgen voor zowel klant als personeel.

Gebruik zelf Windows op de Surface tablet en aan de ene kant werkt het maar Windows blijft irritant en soms traag en de hoofdreden voor deze tablet was de extra spaar punten voor XB maar het is de eerste en laatste keer een Windows tablet want sommige updates zijn te groot voor deze opslag en dan begint MS weer over dat ik cloud opslag kan kopen..
Waar haal je vandaan dat Al niet goed in programmeren zou zijn.

Bij uitstek kan een taalmodel code genereren en het voordeel is dat de code ook goed te testen/verifieren valt.

Wat je overigens wel ziet is dat vaak voor daadwerkelijke apps, de code wel altijd nog nagekeken wordt door mensen en aanvullende QA doorgaat. Maar ik schat zo dat van de huidige code die momenteel wereldwijd in produktie gaat, minstens de helft door een AI-model is gegenereerd.

[Reactie gewijzigd door Keypunchie op 10 juli 2026 15:19]

Mijn ervaring is dat door AI gegenereerde code in meer dan 60% van de gevallen van slechte kwaliteit is.

Bijvoorbeeld:
  • De code bevat bad practices.
  • De code is erg inefficient.
  • De code doet functioneel niet het juiste.
  • De code is lastig te begrijpen of te lezen, waardoor je een maintenance probleem creert.
  • Refactoring introduceert bugs.
  • Het verwijderd geen dead code (bv functies die niet meer nodig zijn)
Kan nog wel even doorgaan.

Dit alles houdt in dat the human in the loop dus extreem belangrijk is. En bedenk dat dus het reviewen van de gegenereerde code veel tijd in beslag kan nemen, en dit na elke aanpassing weer opnieuw gedaan moet worden.

Bij goed gebruik kan AI inderdaad de productiviteit verhogen. Maar werkt dat met name alleen goed voor zeer ervaren programmeurs. Juist omdat zij veel zaken uit de bovenstaande lijst goed kunnen beoordelen, en niet ervaren programmeurs juist niet. Niet ervaren programmeurs zullen in de praktijk juist veel problemen introduceren met AI, waardoor juist de productiviteit onder druk komt te staan. In veel gevallen dan onder het niveau komen dan wanneer geen AI wordt gebruikt.

Let wel, dit is mijn ervaring, en wordt ook duidelijk benoemd in vakliteratuur/boeken over dit onderwerp.

Ik denk dat het met name komt doordat AI getraint is, niet alleen met code van goede kwaliteit. Maar juist voornamelijk met code van slechte kwaliteit. Aangezien dat het merendeel van diverse code bases is.
Wat ik niet snap, en ik ben van maning dat mensen en programmeurs onmisbaar zijn hè, maar als die AI niet goed kan programmeren hoe kan die dat zo goed bugs opsporen?
AI kan enkele dingen die mensen niet kunnen, namelijk nooit last hebben van slechte concentratie, dag en nacht doorgaan, snel veel data analyseren.

Mensen kunnen ook dingen die AI niet kan, althans daarga ik op dit moment vanuit.

Om te kunnen reageren moet je ingelogd zijn