マイクロソフト「Scout」徹底解剖：常時稼働型AIエージェントの革新性と、発覚した5つのゼロデイ脆弱性が突きつける現実

さらに、Scoutは長期的な学習とコンプライアンス対応も視野に入れています。ユーザーのフィードバックから継続的に記憶を構築し、個人のワークパターンを学習。また、企業のコンプライアンス要求に応えるため、自らの行動を常時監視し、監査証跡（ログ）を自動生成するポリシー適合システムも内蔵しています 。

セキュリティ面では、各Scoutエージェントは企業のID管理基盤（Microsoft Entra ID）上で固有のIDを持ち、既存のアクセスポリシーに則って管理されます。機密性の高い操作には人間の承認が必要となるよう設計されており、マイクロソフトはこのガバナンス層によって、慎重な企業のセキュリティチームの理解を得たい考えです 。

現在、Scoutは限定的なプライベートプレビュー版として、マイクロソフトの早期導入プログラム「Frontier」会員、かつGitHub Copilotの契約者にのみ提供されています 。

揺らぐ土台：オープンソースフレームワーク「OpenClaw」の1年

Scoutの発表をこれまでにないほど憂慮すべきものにしているのは、その技術的な土台にあります。Scoutは「OpenClaw」というオープンソースの自律エージェントフレームワーク上に構築されています。マイクロソフトのコンテキストエンジン「Work IQ」が付加的な層を提供しますが、中核的なエージェントの制御はOpenClawが担っています 。

このOpenClawが、近年のソフトウェア史の中でも類を見ないほど、セキュリティ面で激動の1年を経験しているのです。

Scoutが発表された時点で、OpenClawは2026年だけで既に138件を超えるCVE（共通脆弱性識別子）が報告されていました 。2026年最大規模とされるAIエージェントのサプライチェーン攻撃も発生し、1,184もの悪意あるマーケットプレイス・パッケージが発見されています。さらに、世界中の82カ国で13万5,000以上のインスタンスが認証なしでインターネット上に公開状態であることも確認されました 。

事態をより深刻に捉えるべきなのは、マイクロソフト自身がかつて発した警告です。Scout発表の数か月前、2026年2月、マイクロソフトのセキュリティブログは極めて異例の強い言葉でOpenClawについて言及しました。

「標準的な個人用または企業用のマシンで実行するのは適切ではない」

これは、今まさに企業向けに提供しようとしている自社製品の土台に対する、自社のセキュリティチームによる評価でした 。さらに別の監査では、512もの脆弱性が特定され、そのうち8件が「クリティカル（緊急）」と分類されるなど、セキュリティ成熟度の低さが度々指摘されてきました 。

Build 2026のさなかに発覚した「5つのゼロデイ脆弱性」

Scout発表の前後、まさにそのタイミングで、OpenClawの信頼境界とアローリスト（実行許可リスト）モデルを根底から覆す、5つのゼロデイ脆弱性が研究者によって相次いで公表されました。これは、Scoutがユーザーに代わって安全にコマンドを実行するために依存せざるを得ない、まさにその仕組みに対する攻撃です。

最も深刻だったのは、「Claw Chain（クロー・チェーン）」と名付けられた4つの脆弱性（CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118）です。これらを連鎖的に悪用することで、攻撃者はサンドボックス（隔離環境）内でのコード実行から、通常のセキュリティ警告を一切発生させることなく、ホストレベルでの永続的な支配権を獲得することが可能になります 。中でも「CVE-2026-44112」は、CVSS（共通脆弱性評価システム）で最高レベルの9.6と評価され、攻撃者がサンドボックスの境界外へファイルシステムの書き込み先をリダイレクトし、設定を改ざんしたりバックドアを設置したりすることを許してしまいます 。

これに加え、OpenClawが信頼済みコマンドを処理する際の弱点を突くゼロデイも見つかりました。

• CVE-2026-41390: 特定のシステムラッパーを適切に解除できない欠陥。攻撃者は、一見無害なラップ済みコマンドへの承認を一度得るだけで、将来のセキュリティ確認を永続的に回避し、任意のコードを実行できるようになります 。
• CVE-2026-29607: これも同様に、ラッパーレベルでの永続化の欠陥を突くものです。「system.run」コマンドを一度「常に許可」すると、内部のコマンドではなくラッパー自体が許可リストに登録され、後日全く異なる悪意あるペイロードの実行を許してしまいます 。
• CVE-2026-3689: パストラバーサルの脆弱性で、認証情報や機密情報を外部から窃取される危険性があります 。
• 不適切なID解決の問題: チャットプラットフォーム上で、攻撃者が表示名を許可リストに登録されたユーザー名に変更するだけで、なりすましが可能になるという信頼境界の根本的な欠陥も指摘されています 。

これらの脆弱性に共通するパターンは明白です。OpenClawのセキュリティモデルは「アローリスト（許可リスト）」に大きく依存していますが、その解決処理は、ラップされたり、展開されたり、連鎖されたコマンドを正しく解釈できないのです 。

例えば、シェルの展開トークンを埋め込んだり、環境変数を用いてコマンド置換を誘発させたり、ネストされたラッパーを悪用して検知を回避したりといった手法が、研究者によっていくつも実証されています 。その結末は常に同じです。ユーザーが巧みに仕組まれた一見安全な操作を一度承認してしまうだけで、攻撃者はそのマシン上で任意のコードを実行する永続的な裏口を手に入れ、その後のあらゆるセキュリティ警告を無力化できてしまうのです。

企業は「便利さ」と「リスク」をどう天秤にかけるか

Scoutは、OpenClawのこの「信頼と許可リスト」のアーキテクチャを直接的に継承しています 。エージェントは、TeamsやOutlookなどの社内コミュニケーションの中心部で常時アクセス権を持ち、バックグラウンドで様々な行動を起こします。セキュリティ研究者や企業の情報システム担当者が懸念するのは、このレベルの永続的なシステムアクセス権と、体系的なアローリスト迂回の脆弱性が実証されたフレームワークの組み合わせが、極めて広範な被害をもたらす「爆心地（ブラスト・レディウス）」を生み出す可能性です 。

無論、マイクロソフトも無策ではありません。Scoutには、通常のOpenClawを超える企業向けの追加の制御が実装されています。各エージェントはEntra IDによって統制され、機密操作には人間の承認が必要です。また、ポリシー適合システムが監査証跡を生成します 。

しかし、根本的な「コマンド実行の境界」、つまり許可されたエージェントが実際にどの操作を実行できるかを強制するメカニズムは、依然としてOpenClawのアローリストの実装そのものに依存しています。もし攻撃者がこの境界を突破できれば、その他のガバナンス層は、真の防御というよりは、事後的な防御策に過ぎなくなってしまうでしょう。

企業のセキュリティ担当者にとっての問いは、Scoutが便利かどうかではありません。初期のデモは、それが非常に有能であることを示しています。真の問いは、「広範な組織アクセス権を持つ常時稼働エージェントを責任を持って展開できるほど、その土台となるフレームワークのリスクが十分に低減されていると言えるのか？」という一点に尽きます。

過去にマイクロソフト自身が下した評価が、今、重くのしかかっています。2026年2月に出したガイダンスで、同社はOpenClawのランタイムには限定的なセキュリティ制御しか組み込まれておらず、外部ソースからのコード実行やクレデンシャルの利用など、本質的なリスクがあることを認めていました。そして、「標準的なマシンで実行するのは適切ではない」と結論づけました 。

Scoutは現在、クローズドなプライベートプレビューの段階にあります。これはマイクロソフトにとって、Build 2026の発表と同時に白日の下にさらされたフレームワークレベルの懸念に対処するための、貴重な制御された時間でもあるのです。この画期的な「デジタル同僚」が、より広範な企業ユーザーのもとへ届く、その前に。