Microsoft Scout: El agente de IA que quiere ser tu compañero de trabajo nace con graves fallos de seguridad

Scout se integra directamente en el ecosistema de Microsoft 365: opera en Teams, Outlook, OneDrive y SharePoint, conectándose a chats, correos electrónicos, calendarios y contactos . Puede unirse a chats grupales de Teams y gestionar hilos de correo de Outlook de forma autónoma, lo que lo convierte en el primer agente que Microsoft coloca directamente en esas plataformas como un participante de pleno derecho, y no como una simple herramienta en una barra lateral .

El blog oficial de Microsoft describió sus capacidades principales como la preparación de reuniones, la resolución de conflictos de agenda, la redacción de correos y la coordinación de tareas rutinarias sin necesidad de órdenes explícitas del usuario . Con el tiempo, Scout aprende los patrones de trabajo individuales, construye una memoria persistente a partir de los comentarios del usuario e incluye un sistema de conformidad de políticas integrado que monitoriza continuamente sus acciones y genera registros de auditoría para el cumplimiento normativo empresarial .

Cada agente de Scout opera con su propia identidad de Microsoft Entra ID (el sistema de gestión de identidades y accesos de Microsoft), lo que significa que se rige por las políticas de acceso corporativo existentes. Las acciones sensibles están diseñadas para requerir la aprobación humana, creando una capa de gobierno que Microsoft espera que satisfaga a los cautelosos equipos de seguridad empresarial .

La disponibilidad en el lanzamiento es limitada: Scout se ofrece exclusivamente a través del programa para pioneros "Frontier" de Microsoft y requiere una suscripción a GitHub Copilot . Por ahora, permanece en una vista previa privada, limitando el acceso general mientras Microsoft refina la experiencia.

La base OpenClaw: un framework bajo asedio

Lo que hace que el despliegue de Scout sea especialmente preocupante es su base técnica. Scout está construido sobre OpenClaw, un framework de agente autónomo de código abierto que ha experimentado uno de los años más turbulentos en seguridad de la historia reciente del software. El motor de contexto "Work IQ" de Microsoft proporciona una capa adicional, pero es OpenClaw el que maneja la orquestación principal del agente .

Cuando se presentó Scout, OpenClaw ya había acumulado más de 138 vulnerabilidades documentadas (CVE, por sus siglas en inglés) solo en el año 2026 . El framework sufrió el mayor ataque a la cadena de suministro de agentes de IA confirmado del año, con 1.184 paquetes maliciosos descubiertos en su marketplace. Además, se encontraron más de 135.000 instancias expuestas en la internet pública en 82 países, muchas de ellas sin ningún tipo de autenticación configurada .

En febrero de 2026, meses antes del anuncio de Scout, el propio blog de seguridad de Microsoft publicó una advertencia contundente sobre OpenClaw, afirmando sin rodeos que "no es apropiado ejecutarlo en una máquina personal o corporativa estándar" . Una auditoría independiente de Kaspersky identificó posteriormente 512 vulnerabilidades en el framework, ocho de las cuales fueron clasificadas como críticas .

La gravedad y frecuencia de estas revelaciones crearon un telón de fondo muy complicado para el lanzamiento de cualquier producto, y más aún para uno que posiciona a un agente siempre activo como un compañero de trabajo empresarial de confianza.

Las cinco vulnerabilidades de día cero en la Build 2026

En torno al momento de la presentación de Scout, varios investigadores revelaron cinco vulnerabilidades de día cero específicas en OpenClaw que socavan directamente su límite de confianza y el modelo de listas de permitidos, el mecanismo exacto en el que Scout debe confiar para ejecutar comandos de forma segura en nombre de un usuario.

El hallazgo más grave fue una cadena de cuatro vulnerabilidades denominada "Claw Chain", con los identificadores CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 y CVE-2026-44118. Estos fallos pueden ser encadenados por un atacante para pasar de una ejecución de código en un entorno aislado (sandbox) a una persistencia total en el equipo anfitrión sin activar las alertas de seguridad convencionales . La vulnerabilidad crítica de la cadena, CVE-2026-44112, tiene una puntuación CVSS de 9.6 (sobre 10) y permite a un atacante redirigir escrituras en el sistema de archivos fuera del límite del sandbox de OpenClaw, lo que posibilita la manipulación de la configuración y la instalación de puertas traseras en el equipo subyacente .

Otros fallos de día cero adicionales expusieron debilidades en cómo OpenClaw procesa los comandos de confianza. CVE-2026-41390 reveló que el mecanismo de persistencia "allow-always" (permitir siempre) del framework no consigue desenvolver ciertos envoltorios del sistema como /usr/bin/script antes de almacenar las decisiones de confianza. Esto significa que un atacante que convenza a un usuario para que apruebe un comando envuelto de apariencia inocua puede eludir de forma persistente futuras solicitudes de seguridad y ejecutar código arbitrario . CVE-2026-29607 expuso un fallo de persistencia similar a nivel de envoltorio: aprobar un comando system.run envuelto con "allow-always" podía hacer persistir entradas en la lista de permitidos a nivel de envoltorio en lugar de a nivel de comando interno, permitiendo una ejecución posterior de cargas maliciosas completamente diferentes sin necesidad de aprobación .

CVE-2026-3689 (registrada como ZDI-26-227) fue una vulnerabilidad de path traversal en OpenClaw Canvas que permitía a atacantes remotos divulgar información sensible de las instalaciones afectadas . Más allá de estos CVE específicos, los investigadores también identificaron fallos de resolución de identidad inadecuada que permitían a los atacantes suplantar a usuarios de confianza simplemente cambiando su nombre para que coincidiera con un nombre visible en la lista de permitidos en plataformas de mensajería, secuestrando así el acceso del agente de IA a través de múltiples servicios .

El patrón recurrente: la elusión de la lista de permitidos

Un patrón claro conecta todas estas vulnerabilidades. El modelo de seguridad de OpenClaw depende en gran medida de una "exec allowlist" o lista de permitidos de ejecución, un mecanismo que mantiene una lista de comandos aprobados y le pregunta al usuario antes de ejecutar cualquier cosa no reconocida. El problema, como los investigadores demostraron repetidamente, es que la resolución de la lista de permitidos fallaba sistemáticamente a la hora de interpretar correctamente los comandos envueltos, expandidos o encadenados.

Múltiples equipos de investigación independientes descubrieron que OpenClaw persistía las decisiones de confianza a nivel de envoltorio en lugar de a nivel del ejecutable interno estable . Los atacantes podían incrustar tokens de expansión de shell en cuerpos de heredoc (una forma de pasar múltiples líneas a un comando) sin entrecomillar, usar la inyección de entorno a través de las variables SHELLOPTS o PS4 para desencadenar una sustitución de comandos antes de que se ejecutara el comando de la lista de permitidos, o explotar desajustes en el análisis de profundidad que suprimían la detección del envoltorio de shell sin dejar de coincidir con la resolución de la lista de permitidos .

La consecuencia práctica era devastadora: se podía manipular a un usuario mediante ingeniería social para que aprobara un comando de aspecto inofensivo, y esa única aprobación otorgaba a los atacantes una puerta trasera persistente capaz de ejecutar código arbitrario en la máquina anfitriona, eludiendo todas las solicitudes de seguridad posteriores.

Por qué esto es importante para los despliegues de Scout

Scout hereda directamente la arquitectura de confianza y lista de permitidos de OpenClaw . El agente opera con acceso continuo dentro de Teams, Outlook y SharePoint: lee correos, gestiona calendarios, se une a conversaciones y realiza acciones en segundo plano. Los investigadores de seguridad y los equipos empresariales han expresado su preocupación de que combinar este nivel de acceso persistente al sistema con un framework que ha demostrado tener fallos sistemáticos de elusión de su lista de permitidos crea un radio de daño potencial inusualmente amplio .

Microsoft ha implementado controles adicionales en Scout que van más allá de un OpenClaw estándar. Cada agente de Scout tiene su propia identidad gobernada en Entra ID con aplicación de políticas empresariales, y las acciones sensibles están diseñadas para requerir la aprobación humana explícita . Un sistema de conformidad de políticas integrado monitoriza continuamente las acciones de Scout y genera registros de auditoría .

Pero el límite central de ejecución de comandos —el mecanismo que realmente hace cumplir qué acciones puede realizar un agente aprobado— se remonta directamente a la implementación de la lista de permitidos de OpenClaw. Si un atacante puede comprometer ese límite, las capas de gobierno adicionales se convierten en defensas secundarias en lugar de una verdadera prevención.

Para los equipos de seguridad empresarial que están evaluando la vista previa privada de Scout, la cuestión no es si el producto es útil —las primeras demostraciones sugieren que es extraordinariamente capaz—. La cuestión es si el perfil de riesgo del framework subyacente se ha reforzado lo suficiente como para desplegar de forma responsable un agente siempre activo con un acceso organizativo tan amplio.

Microsoft ha sido transparente sobre las limitaciones de seguridad de OpenClaw en el pasado. La guía de la compañía de febrero de 2026 reconocía que el entorno de ejecución incluye controles de seguridad integrados limitados, puede ingerir texto no confiable y descargar código ejecutable de fuentes externas, y realiza acciones utilizando las credenciales asignadas, desplazando efectivamente el límite de ejecución desde el código de aplicación estático al contenido suministrado dinámicamente sin controles equivalentes de identidad y privilegios .

Por ahora, Scout permanece en vista previa privada, limitado por el programa Frontier y una suscripción a GitHub Copilot. Esto le da a Microsoft una ventana controlada para abordar las preocupaciones a nivel de framework que las revelaciones de la Build 2026 pusieron de manifiesto, antes de que el agente llegue a la audiencia empresarial más amplia para la que está claramente diseñado.