מיקרוסופט סקאוט: בן-הצוות הדיגיטלי החדש שבנוי על יסודות רעועים של פרצות אבטחה

הבלוג הרשמי של מיקרוסופט תיאר את יכולות הליבה שלו כטיפול בהכנות לפגישות, פתרון התנגשויות ביומן, ניסוח אימיילים ותיאום משימות שוטפות ללא צורך בפקודות מפורשות מהמשתמש . עם הזמן, סקאוט לומד דפוסי עבודה אינדיבידואליים, בונה זיכרונות מתמשכים ממשוב המשתמש, וכולל מערכת מובנית לעמידה במדיניות (Policy Conformance) המנטרת ברציפות את פעולותיו ומייצרת נתיבי ביקורת (Audit Trails) לעמידה בדרישות ארגוניות .

כל סוכן סקאוט פועל עם זהות Microsoft Entra משלו, כלומר הוא כפוף למדיניות הגישה הארגונית הקיימת. פעולות רגישות מתוכננות לדרוש אישור אנושי, מה שיוצר שכבת ממשל שמיקרוסופט מקווה שתספק את צוותי האבטחה הארגוניים הזהירים .

בשלב ההשקה, הזמינות מוגבלת: סקאוט מוצע באופן בלעדי דרך תוכנית המאמצים המוקדמים 'Frontier' של מיקרוסופט ודורש מנוי GitHub Copilot . לעת עתה, הוא נשאר בתצוגה מקדימה פרטית, מה שמגביל גישה רחבה בזמן שמיקרוסופט משפרת את החוויה.

תשתית OpenClaw: מסגרת עבודה תחת מצור

מה שהופך את ההשקה של סקאוט למדאיגה במיוחד היא התשתית הטכנית שלה. סקאוט בנוי על OpenClaw, מסגרת קוד פתוח לסוכנים אוטונומיים אשר חוותה את אחת השנים הסוערות ביותר מבחינה אבטחתית בהיסטוריית התוכנה המודרנית. מנוע ה-Work IQ ההקשרי של מיקרוסופט מספק שכבה נוספת, אך OpenClaw מטפלת בתזמור הליבה של הסוכן .

עד למועד חשיפת סקאוט, OpenClaw כבר צברה למעלה מ-138 פגיעויות (CVE) מתועדות בשנה זו בלבד . המסגרת ספגה את מתקפת שרשרת האספקה הגדולה ביותר שתועדה נגד סוכני AI, עם גילוי של 1,184 חבילות זדוניות ב-Marketplace. בנוסף, למעלה מ-135,000 מופעים (Instances) של OpenClaw ב-82 מדינות נמצאו חשופים באינטרנט הציבורי, רבים מהם ללא כל הגדרת אימות .

בפברואר 2026, חודשים לפני הכרזת סקאוט, בלוג האבטחה של מיקרוסופט עצמו פרסם אזהרה חריפה לגבי OpenClaw, וקבע בוטות כי היא "אינה מתאימה להפעלה על מחשב אישי או ארגוני רגיל" . ביקורת נפרדת של קספרסקי זיהתה מאוחר יותר 512 פגיעויות במסגרת, שמונה מהן סווגו כקריטיות .

החומרה והתכיפות של גילויים אלה יצרו רקע מאתגר לכל השקת מוצר, שלא לדבר על אחת המציבה סוכן הזמין תמיד בתור בן-צוות ארגוני מהימן.

חמש פרצות היום-אפס שנחשפו בכנס Build 2026

בסביבות מועד חשיפת סקאוט, חוקרים חשפו חמש פרצות יום-אפס ספציפיות ב-OpenClaw אשר מערערות ישירות על גבול האמון (Trust Boundary) ומודל רשימת ההיתרים (Allowlist) שלה – המנגנון המדויק שסקאוט חייב להסתמך עליו כדי להריץ בבטחה פקודות בשם המשתמש.

הממצא החמור ביותר היה שרשרת של ארבע פגיעויות שכונתה "Claw Chain", להן הוקצו המזהים CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, ו-CVE-2026-44118. פגמים אלו ניתנים לשרשור על ידי תוקף כדי להתקדם מהרצת קוד בתוך ארגז-החול (Sandbox) להשגת אחיזה מתמשכת ברמת המחשב המארח (Host), מבלי להפעיל התראות אבטחה קונבנציונליות . הפגיעות הקריטית בשרשרת, CVE-2026-44112, נושאת ציון CVSS של 9.6 ומאפשרת לתוקף לנתב כתיבת קבצים אל מחוץ לגבולות ארגז-החול של OpenClaw, מה שמאפשר שיבוש הגדרות והתקנת דלתות אחוריות על המחשב המארח .

פרצות יום-אפס נוספות חשפו חולשות באופן בו OpenClaw מעבד פקודות מהימנות. CVE-2026-41390 חשפה כי מנגנון ההתמדה "allow-always" של המסגרת נכשל בלפתוח מעטפות מערכת מסוימות כמו /usr/bin/script לפני שמירת החלטות אמון. המשמעות היא שתוקף שישכנע משתמש לאשר פקודה עטופה ותמימה-למראה, יכול לעקוף באופן קבוע בקשות אבטחה עתידיות ולהריץ קוד שרירותי . CVE-2026-29607 חשפה כשל דומה בהתמדה ברמת המעטפת: אישור פקודת system.run עטופה אחת עם "allow-always" יכול להתמיד ערכי רשימת היתרים ברמת המעטפת ולא ברמת הפקודה הפנימית, מה שמאפשר הרצה מאוחרת יותר של מטענים זדוניים שונים לחלוטין תוך עקיפת האישור .

CVE-2026-3689 (רשומה כ-ZDI-26-227) הייתה פגיעות Path Traversal ב-OpenClaw Canvas שאיפשרה לתוקפים מרוחקים לחשוף מידע רגיש מהתקנות מושפעות . מעבר לפגיעויות ספציפיות אלו, חוקרים גם זיהו כשלים בפתרון זהויות שאפשרו לתוקפים להתחזות למשתמשים מהימנים פשוט על ידי שינוי שמם כך שיתאים לשם תצוגה ברשימת ההיתרים בפלטפורמות מסרים, ובכך לחטוף גישת סוכני AI במספר שירותים .

הדפוס החוזר: עקיפת רשימת ההיתרים

דפוס ברור מחבר בין כל הפגיעויות הללו. מודל האבטחה של OpenClaw מסתמך מאוד על רשימת היתרים לביצוע – מנגנון שמתחזק רשימה של פקודות מאושרות ומבקש מהמשתמש אישור לפני הרצת כל דבר שאינו מוכר. הבעיה, כפי שהוכיחו חוקרים שוב ושוב, היא שפתרון רשימת ההיתרים נכשל באופן עקבי בפירוש נכון של פקודות עטופות, מורחבות או משורשרות.

צוותי מחקר עצמאיים מרובים מצאו כי OpenClaw שימרה החלטות אמון ברמת המעטפת ולא ברמת קובץ ההרצה הפנימי היציב . תוקפים יכלו להטמין ביטויי הרחבת מעטפת (Shell Expansion Tokens) בגופי heredoc לא ממוסגרים, להשתמש בהזרקת סביבה באמצעות משתני SHELLOPTS או PS4 כדי להפעיל החלפת פקודות לפני שהפקודה המאושרת רצה, או לנצל אי-התאמות בניתוח עומק שדיכאו זיהוי מעטפת-עטיפה ועדיין התאימו לפתרון רשימת ההיתרים .

התוצאה המעשית הייתה הרסנית: משתמש יכול לעבור מניפולציה חברתית לאשר פקודה אחת תמימה למראה, והאישור הבודד הזה יעניק לתוקפים דלת אחורית קבועה המסוגלת להריץ קוד שרירותי על המחשב המארח, תוך עקיפת כל בקשה לאבטחה עתידית.

למה זה משנה לפריסות סקאוט

סקאוט יורש את ארכיטקטורת האמון ורשימת ההיתרים של OpenClaw באופן ישיר . הסוכן פועל עם גישה זמינה תמיד בתוך Teams, Outlook ו-SharePoint – קורא אימיילים, מנהל לוחות שנה, מצטרף לשיחות ומבצע פעולות ברקע. חוקרי אבטחה וצוותים ארגוניים העלו חשש ששילוב של רמת גישה מערכתית מתמשכת שכזו עם מסגרת שהציגה פגיעויות סיסטמיות בעקיפת רשימת היתרים יוצר טווח פגיעה רחב במיוחד .

מיקרוסופט הטמיעה בקרות נוספות בסקאוט החורגות מ-OpenClaw הסטנדרטית. כל סוכן סקאוט נושא זהות Entra מנוהלת משלו עם אכיפת מדיניות ארגונית, ופעולות רגישות מתוכננות לדרוש אישור אנושי מפורש . מערכת מובנית לעמידה במדיניות מנטרת ברציפות את פעולות סקאוט ומייצרת נתיבי ביקורת .

אך גבול ביצוע הפקודות הליבתי – המנגנון שאוכף בפועל אילו פעולות סוכן מאושר יכול לבצע – נובע ישירות מיישום רשימת ההיתרים של OpenClaw. אם תוקף יכול לפגוע בגבול זה, שכבות הממשל הנוספות הופכות להגנות משניות, לא למניעה אמיתית.

עבור צוותי אבטחה ארגוניים שבוחנים את התצוגה המקדימה הפרטית של סקאוט, השאלה אינה האם המוצר שימושי – הדגמות מוקדמות מראות שהוא בעל יכולות מרשימות. השאלה היא האם פרופיל הסיכון של המסגרת הבסיסית חוזק מספיק כדי לפרוס באחריות סוכן הזמין תמיד עם גישה ארגונית רחבה.

מיקרוסופט הייתה שקופה לגבי מגבלות האבטחה של OpenClaw בעבר. ההנחיות של החברה מפברואר 2026 הכירו בכך שסביבת הריצה כוללת בקרות אבטחה מובנות מוגבלות, יכולה להכניס טקסט לא מהימן ולהוריד קוד בר-הרצה ממקורות חיצוניים, ומבצעת פעולות תוך שימוש באישורים שהוקצו לה – למעשה מעבירה את גבול הביצוע מקוד אפליקציה סטטי לתוכן דינמי, ללא בקרות זהות והרשאות מקבילות .

לעת עתה, סקאוט נותר בתצוגה מקדימה פרטית, מגודר מאחורי תוכנית Frontier ומנוי GitHub Copilot. זה נותן למיקרוסופט חלון זמן מבוקר לטפל בחששות ברמת המסגרת שהגילויים מ-Build 2026 העלו למודעות – לפני שהסוכן יגיע לקהל הארגוני הרחב לו הוא בבירור מיועד.