Microsoft Scout: Nový AI kolega, který nespí, stojí na základech plných zero-day zranitelností

Scout se přímo integruje do ekosystému Microsoft 365: funguje napříč Teams, Outlookem, OneDrivem a SharePointem, kde se připojuje k chatům, e-mailům, kalendářům a kontaktům . Dokáže se autonomně připojovat ke skupinovým chatům v Teams a řešit e-mailové konverzace v Outlooku – je tak prvním agentem, kterého Microsoft umístil přímo do těchto aplikací jako plnohodnotného účastníka, nikoli jen jako nástroj na bočním panelu .

Oficiální blog Microsoftu popsal jeho hlavní schopnosti jako přípravu na schůzky, řešení konfliktů v kalendáři, psaní konceptů e-mailů a koordinaci rutinních úkolů bez nutnosti explicitních příkazů uživatele . Scout se postupně učí vaše pracovní návyky, vytváří trvalou paměť na základě zpětné vazby a zahrnuje vestavěný systém pro kontrolu souladu s firemními politikami, který neustále monitoruje jeho akce a generuje auditní záznamy pro podnikovou shodu .

Každý agent Scout pracuje s vlastní identitou Microsoft Entra, což znamená, že podléhá existujícím firemním bezpečnostním politikám. Citlivé akce jsou navrženy tak, aby vyžadovaly lidské schválení, čímž vzniká řídicí vrstva, o které Microsoft doufá, že uspokojí opatrné firemní bezpečnostní týmy .

Dostupnost je zatím omezená: Scout je nabízen výhradně prostřednictvím programu Microsoft Frontier pro první osvojitele a vyžaduje předplatné GitHub Copilot . Zůstává tak v režimu soukromého náhledu, což omezuje široký přístup a dává Microsoftu čas na vyladění.

Základ jménem OpenClaw: Framework v obležení

To, co činí uvedení Scoutu obzvláště znepokojivým, je jeho technický základ. Scout je postaven na OpenClaw, open-source frameworku pro autonomní agenty, který zažil jeden z nejbouřlivějších bezpečnostních roků v novodobé softwarové historii. Kontextový engine Microsoft Work IQ poskytuje další vrstvu, ale OpenClaw zajišťuje jádro orchestrace agenta .

V době představení Scoutu měl OpenClaw jen v roce 2026 na kontě už přes 138 zdokumentovaných CVE zranitelností . Framework utrpěl největší potvrzený útok na dodavatelský řetězec AI agentů roku (bylo objeveno 1 184 škodlivých balíčků na tržišti) a přes 135 000 instancí v 82 zemích bylo nalezeno vystavených na veřejném internetu, mnohdy bez nastavené autentizace .

V únoru 2026, měsíce před oznámením Scoutu, zveřejnil vlastní bezpečnostní blog Microsoftu strohé varování, že OpenClaw „není vhodné provozovat na standardním osobním nebo firemním počítači“ . Samostatný audit společnosti Kaspersky později identifikoval 512 zranitelností ve frameworku, z nichž osm bylo klasifikováno jako kritických .

Závažnost a četnost těchto odhalení vytvořila velmi problematické pozadí pro jakékoli uvedení produktu, natož pro takový, který staví neustále aktivního agenta do role důvěryhodného firemního kolegy.

Pět zero-day zranitelností na Build 2026

V době odhalení Scoutu výzkumníci zveřejnili pět konkrétních zero-day zranitelností v OpenClaw, které přímo podkopávají jeho model důvěry a schvalovacích seznamů (allowlist) – přesně ten mechanismus, na který se Scout musí spoléhat, aby bezpečně vykonával příkazy za uživatele.

Nejzávažnějším nálezem byl řetězec čtyř zranitelností nazvaný „Claw Chain“, s identifikátory CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 a CVE-2026-44118. Tyto chyby lze zřetězit tak, aby útočník postoupil od spuštění kódu v sandboxu až k plné perzistenci na úrovni hostitelského systému, aniž by spustil běžné bezpečnostní alarmy . Kritická zranitelnost v řetězci, CVE-2026-44112, má CVSS skóre 9,6 a umožňuje útočníkovi přesměrovat zápisy do souborového systému mimo hranice sandboxu, což umožňuje manipulaci s konfigurací a instalaci zadních vrátek na podkladovém hostiteli .

Další zero-day zranitelnosti odhalily slabiny ve zpracování důvěryhodných příkazů. CVE-2026-41390 ukázala, že mechanismus trvalého schválení („allow-always“) nedokáže správně „rozbalit“ některé systémové obálky jako /usr/bin/script před uložením rozhodnutí o důvěře. To znamená, že útočník, který přesvědčí uživatele, aby schválil jeden zabalený, neškodně vypadající příkaz, může trvale obejít budoucí bezpečnostní výzvy a spouštět libovolný kód . CVE-2026-29607 odhalila podobnou chybu na úrovni obálek: schválení jednoho zabaleného příkazu system.run s „allow-always“ mohlo uložit schvalovací položky na úrovni obálky, nikoli vnitřního příkazu, což později umožnilo spuštění zcela odlišných, škodlivých částí kódu .

CVE-2026-3689 (registrovaná jako ZDI-26-227) byla zranitelnost typu path traversal v OpenClaw Canvas, která umožňovala vzdáleným útočníkům získat citlivé informace z postižených instalací . Mimo tyto konkrétní CVE výzkumníci identifikovali také chyby v řešení identit, které útočníkům umožňovaly vydávat se za důvěryhodné uživatele pouhou změnou zobrazovaného jména tak, aby odpovídalo jménu na schvalovacím seznamu, a unést tak přístup AI agenta napříč různými službami .

Opakující se vzorec: Obcházení schvalovacích seznamů

Tato zranitelnosti spojuje jasný vzorec. Bezpečnostní model OpenClaw silně spoléhá na exec allowlist – mechanismus, který udržuje seznam schválených příkazů a před spuštěním čehokoli nerozpoznaného se zeptá uživatele. Problém, jak výzkumníci opakovaně demonstrovali, spočívá v tom, že rezoluce schvalovacích seznamů konzistentně selhávala ve správné interpretaci zabalených, rozšířených nebo zřetězených příkazů.

Několik nezávislých výzkumných týmů zjistilo, že OpenClaw ukládal rozhodnutí o důvěře na úrovni obálky, nikoli na stabilní úrovni vnitřního spustitelného souboru . Útočníci mohli vkládat tokeny pro expanzi shellu, používat injekci proměnných prostředí jako SHELLOPTS nebo PS4 k vyvolání substituce příkazu ještě před spuštěním schváleného příkazu, nebo zneužít nesoulad v hloubkové analýze obálek k potlačení detekce při současném splnění rezoluce schvalovacího seznamu .

Praktický dopad byl zničující: uživatel mohl být sociálním inženýrstvím přiměn ke schválení jednoho neškodně vypadajícího příkazu a toto jediné schválení poskytlo útočníkům trvalá zadní vrátka schopná spouštět libovolný kód na hostitelském počítači a obcházet každou další bezpečnostní výzvu.

Proč je to důležité pro nasazení Scoutu

Scout přímo dědí architekturu důvěry a schvalovacích seznamů OpenClaw . Agent pracuje s neustálým přístupem do Teams, Outlooku a SharePointu – čte e-maily, spravuje kalendáře, připojuje se ke konverzacím a provádí akce na pozadí. Bezpečnostní výzkumníci a firemní týmy vznesli obavu, že kombinace této úrovně trvalého přístupu do systému s frameworkem, který prokázal systematické zranitelnosti v obcházení schvalovacích seznamů, vytváří neobvykle velký prostor pro potenciální škody .

Microsoft do Scoutu implementoval další kontrolní mechanismy nad rámec základního OpenClaw. Každý agent Scout má vlastní řízenou Entra identitu s vynucováním firemních politik a citlivé akce vyžadují explicitní lidské schválení . Vestavěný systém pro kontrolu souladu nepřetržitě monitoruje akce Scoutu a generuje auditní záznamy .

Ale samotná hranice pro vykonávání příkazů – mechanismus, který skutečně prosazuje, jaké akce může schválený agent provádět – vede přímo k implementaci schvalovacích seznamů v OpenClaw. Pokud útočník dokáže tuto hranici kompromitovat, stávají se další vrstvy řízení spíše sekundární obranou než skutečnou prevencí.

Pro firemní bezpečnostní týmy, které zvažují soukromý náhled Scoutu, není otázkou, zda je produkt užitečný – první ukázky naznačují, že je pozoruhodně schopný. Otázkou je, zda byl rizikový profil základního frameworku dostatečně posílen, aby bylo možné zodpovědně nasadit neustále aktivního agenta s širokým přístupem do celé organizace.

Microsoft byl v minulosti ohledně bezpečnostních omezení OpenClaw otevřený. Jeho doporučení z února 2026 uznalo, že běhové prostředí obsahuje omezené vestavěné bezpečnostní kontroly, může přijímat nedůvěryhodný text a stahovat spustitelný kód z externích zdrojů a provádí akce s přidělenými pověřeními – čímž efektivně posouvá hranici vykonávání ze statického kódu aplikace na dynamicky dodávaný obsah bez ekvivalentních kontrol identity a oprávnění .

Prozatím zůstává Scout v soukromém náhledu, přístupný pouze přes program Frontier a s předplatným GitHub Copilot. To Microsoftu poskytuje kontrolované okno pro řešení obav na úrovni frameworku, které odhalení na Build 2026 tak ostře zvýraznila – dříve, než se agent dostane k širšímu firemnímu publiku, pro které je zjevně navržen.