Microsoft Scout: Dentro il Nuovo Agente Autopilot e la Sua Crisi di Sicurezza Zero-Day

Scout si integra direttamente nell'ecosistema Microsoft 365: opera attraverso Teams, Outlook, OneDrive e SharePoint, collegandosi a chat, email, calendari e contatti . Può unirsi alle chat di gruppo di Teams e gestire thread email di Outlook in piena autonomia, rendendolo il primo agente che Microsoft ha piazzato in quelle stesse piattaforme come un partecipante a tutti gli effetti, non come un semplice strumento laterale .

Il blog ufficiale di Microsoft ha descritto le sue capacità principali come la gestione della preparazione delle riunioni, la risoluzione di conflitti di calendario, la stesura di email e il coordinamento di attività di routine senza richiedere comandi espliciti all'utente . Scout impara i modelli di lavoro individuali nel tempo, costruisce una memoria persistente grazie al feedback dell'utente e include un sistema di controllo della conformità alle policy che monitora continuamente le sue azioni e genera audit trail per i requisiti di conformità aziendale .

Ogni agente Scout opera con una propria identità Microsoft Entra, il che significa che è governato dalle politiche di accesso aziendale già esistenti. Le azioni più sensibili sono progettate per richiedere l'approvazione umana, creando un livello di governance che Microsoft spera possa rassicurare i team di sicurezza aziendale più prudenti .

Al lancio, la disponibilità è limitata: Scout è offerto esclusivamente tramite il programma per early-adopter "Frontier" di Microsoft e richiede un abbonamento a GitHub Copilot . Al momento rimane in anteprima privata, limitandone l'accesso su larga scala mentre Microsoft continua a perfezionarlo.

Le Fondamenta OpenClaw: Un Framework sotto Assedio

Ciò che rende particolarmente preoccupante il lancio di Scout è il suo fondamento tecnico. Scout è costruito su OpenClaw, un framework open-source per agenti autonomi che ha vissuto uno degli anni più turbolenti, in termini di sicurezza, nella storia recente del software. Il motore "Work IQ" di Microsoft fornisce uno strato aggiuntivo, ma è OpenClaw a gestire l'orchestrazione principale dell'agente .

Quando Scout è stato svelato, OpenClaw aveva già accumulato oltre 138 CVE (vulnerabilità ed esposizioni comuni) documentate solo nel 2026 . Il framework è stato vittima del più grande attacco confermato alla catena di fornitura di un agente IA dell'anno, con la scoperta di 1.184 pacchetti malevoli nel marketplace, e oltre 135.000 istanze in 82 paesi sono state trovate esposte su internet pubblicamente, molte senza autenticazione configurata .

Nel febbraio 2026, mesi prima dell'annuncio di Scout, lo stesso blog sulla sicurezza di Microsoft aveva pubblicato un severo avvertimento su OpenClaw, affermando senza mezzi termini che "non è appropriato eseguirlo su una macchina personale o aziendale standard" . Una revisione separata di Kaspersky ha in seguito identificato 512 vulnerabilità nel framework, otto delle quali classificate come critiche .

La gravità e la frequenza di queste segnalazioni hanno creato un contesto difficile per qualsiasi lancio di prodotto, figuriamoci per uno che posiziona un agente sempre attivo come un affidabile collega digitale in azienda.

Le Cinque Vulnerabilità Zero-Day Annunciate al Build 2026

In concomitanza con la presentazione di Scout, i ricercatori hanno reso note cinque specifiche vulnerabilità zero-day in OpenClaw, che minano direttamente il suo modello di fiducia e il meccanismo di "allowlist" — proprio il sistema su cui Scout deve fare affidamento per eseguire comandi in sicurezza per conto di un utente.

Il problema più grave è una catena di quattro vulnerabilità soprannominata "Claw Chain", a cui sono stati assegnati i codici CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 e CVE-2026-44118. Queste falle possono essere concatenate da un aggressore per passare dall'esecuzione di codice in un ambiente isolato (sandbox) a una persistenza completa a livello di sistema ospite, senza attivare gli allarmi di sicurezza convenzionali . La vulnerabilità più critica della catena, CVE-2026-44112, ha un punteggio CVSS di 9.6 e permette a un aggressore di reindirizzare le scritture del filesystem al di fuori della sandbox di OpenClaw, consentendo la manomissione della configurazione e l'installazione di backdoor sulla macchina host .

Ulteriori falle zero-day hanno esposto debolezze nel modo in cui OpenClaw elabora i comandi considerati affidabili. CVE-2026-41390 ha rivelato che il meccanismo di persistenza "allow-always" del framework non riesce a "scartare" alcuni wrapper di sistema come /usr/bin/script prima di memorizzare le decisioni di fiducia. Questo significa che un aggressore che convince un utente ad approvare un comando apparentemente innocuo può ottenere una backdoor persistente per eseguire codice arbitrario in futuro . CVE-2026-29607 ha esposto una falla simile a livello di persistenza del wrapper, dove approvare un comando system.run con l'opzione "allow-always" potrebbe rendere permanenti le voci nell'allowlist a livello di wrapper, consentendo in seguito l'esecuzione di payload completamente diversi e malevoli .

CVE-2026-3689 (registrata come ZDI-26-227) era una vulnerabilità di attraversamento del percorso (path traversal) in OpenClaw Canvas che consentiva ad aggressori remoti di divulgare informazioni sensibili dalle installazioni colpite . Oltre a queste CVE specifiche, i ricercatori hanno anche identificato falle di risoluzione impropria dell'identità che permettevano di impersonare utenti fidati semplicemente cambiando il proprio nome visualizzato per farlo corrispondere a quello di un utente autorizzato sulle piattaforme di messaggistica, dirottando così l'accesso dell'agente IA su più servizi .

Lo Schema Ricorrente: Bypass dell'Allowlist

Un chiaro schema collega tutte queste vulnerabilità. Il modello di sicurezza di OpenClaw si basa pesantemente su una "exec allowlist", un meccanismo che mantiene un elenco di comandi approvati e chiede conferma all'utente prima di eseguire qualsiasi cosa non riconosciuta. Il problema, come hanno dimostrato ripetutamente i ricercatori, è che la risoluzione dell'allowlist non è riuscita costantemente a interpretare correttamente comandi confezionati, espansi o concatenati.

Diversi team di ricerca indipendenti hanno scoperto che OpenClaw rendeva persistenti le decisioni di fiducia a livello di wrapper, piuttosto che al livello stabile del comando interno . Gli aggressori potevano incorporare token di espansione della shell in corpi di heredoc senza virgolette, usare l'iniezione di ambiente tramite le variabili SHELLOPTS o PS4 per attivare la sostituzione di comandi prima che il comando autorizzato venisse eseguito, o sfruttare discrepanze di analisi che sopprimevano il rilevamento del wrapper della shell pur continuando a far scattare la risoluzione dell'allowlist .

La conseguenza pratica era devastante: un utente poteva essere indotto con l'ingegneria sociale ad approvare un comando dall'aspetto innocuo, e quella singola approvazione concedeva agli aggressori una backdoor persistente capace di eseguire codice arbitrario sulla macchina ospite, eludendo ogni successivo controllo di sicurezza.

Perché Questo è Un Problema per le Aziende che Valutano Scout

Scout eredita direttamente l'architettura di fiducia e allowlist di OpenClaw . L'agente opera con un accesso sempre attivo all'interno di Teams, Outlook e SharePoint, leggendo email, gestendo calendari, unendosi a conversazioni e compiendo azioni in background. I ricercatori di sicurezza e i team aziendali hanno sollevato il timore che combinare questo livello di accesso persistente con un framework che ha dimostrato vulnerabilità sistematiche di bypass dell'allowlist crei un "raggio d'azione" (blast radius) insolitamente ampio .

Microsoft ha implementato in Scout controlli aggiuntivi che vanno oltre la versione base di OpenClaw. Ogni agente Scout possiede una propria identità Entra governata con l'applicazione delle policy aziendali, e le azioni sensibili sono progettate per richiedere un'approvazione umana esplicita . Un sistema di controllo della conformità alle policy monitora continuamente le azioni di Scout e genera audit trail .

Ma il confine fondamentale per l'esecuzione dei comandi, il meccanismo che di fatto fa rispettare quali azioni un agente approvato può compiere, risale direttamente all'implementazione dell'allowlist di OpenClaw. Se un aggressore può compromettere quel confine, gli ulteriori strati di governance diventano difese secondarie piuttosto che una vera prevenzione.

Per i team di sicurezza aziendale che stanno valutando l'anteprima privata di Scout, la domanda non è se il prodotto sia utile — le prime dimostrazioni suggeriscono che è straordinariamente capace — ma piuttosto se il profilo di rischio del framework sottostante sia stato sufficientemente rafforzato per poter distribuire responsabilmente un agente sempre attivo con un accesso organizzativo così ampio.

Microsoft è stata trasparente in passato riguardo ai limiti di sicurezza di OpenClaw. Le linee guida dell'azienda del febbraio 2026 riconoscevano che il runtime include controlli di sicurezza integrati limitati, può ingerire testo non affidabile e scaricare codice eseguibile da fonti esterne, ed esegue azioni usando le credenziali assegnate, spostando di fatto il confine di esecuzione da codice applicativo statico a contenuti forniti dinamicamente, senza controlli equivalenti su identità e privilegi .

Per ora, Scout rimane in anteprima privata, accessibile solo tramite il programma Frontier e un abbonamento a GitHub Copilot. Questo offre a Microsoft una finestra controllata per affrontare le preoccupazioni a livello di framework che le rivelazioni del Build 2026 hanno messo in netta evidenza, prima che l'agente raggiunga il pubblico aziendale più ampio per cui è chiaramente progettato.