Microsoft Scout: De Altijd-Aan AI-Coworker Gebouwd op een Fundament van Zero-Day Kwetsbaarheden

Scout integreert direct in het Microsoft 365-ecosysteem: het werkt binnen Teams, Outlook, OneDrive en SharePoint, en maakt verbinding met chats, e-mail, agenda's en contacten . Het kan autonoom deelnemen aan Teams-groepchats en Outlook-e-mailthreads afhandelen – en is daarmee de eerste agent die Microsoft rechtstreeks in die omgevingen plaatst als volwaardige deelnemer in plaats van als een hulpmiddel in de zijbalk .

Microsofts officiële blog beschreef de kernmogelijkheden als het afhandelen van vergadervoorbereiding, planningsconflicten, het opstellen van e-mails en de coördinatie van routinetaken zonder dat expliciete gebruikersopdrachten nodig zijn . Scout leert na verloop van tijd individuele werkpatronen, bouwt een blijvend geheugen op basis van gebruikersfeedback, en bevat een ingebouwd systeem voor beleidsconformiteit dat continu zijn acties bewaakt en audittrails genereert voor naleving door organisaties .

Elke Scout-agent opereert met zijn eigen Microsoft Entra-identiteit, wat betekent dat deze wordt beheerst door bestaande bedrijfstoegangsbeleid. Gevoelige acties zijn zo ontworpen dat ze menselijke goedkeuring vereisen, wat een governancelaag creëert waarvan Microsoft hoopt dat het voorzichtige enterprise-beveiligingsteams geruststelt .

De beschikbaarheid bij lancering is beperkt: Scout wordt exclusief aangeboden via Microsofts Frontier early-adopterprogramma en vereist een GitHub Copilot-abonnement . Het blijft voorlopig een privé-preview, waardoor brede toegang wordt beperkt terwijl Microsoft de ervaring verfijnt.

De OpenClaw-basis: een raamwerk onder vuur

Wat de uitrol van Scout bijzonder zorgwekkend maakt, is de technische basis. Scout is gebouwd op OpenClaw, een open-source autonoom agent-framework dat een van de meest turbulente beveiligingsjaren in de recente softwaregeschiedenis doormaakt. Microsofts Work IQ-contextengine vormt een extra laag, maar OpenClaw verzorgt de kernorkestratie van de agent .

Tegen de tijd dat Scout werd onthuld, had OpenClaw alleen al in 2026 meer dan 138 gedocumenteerde CVEs verzameld . Het framework leed onder de grootste bevestigde supply chain-aanval op een AI-agent van het jaar, met 1.184 kwaadaardige marketplace-pakketten die werden ontdekt. Ook werden meer dan 135.000 instanties in 82 landen blootgesteld op het publieke internet aangetroffen, waarvan vele zonder enige authenticatieconfiguratie .

In februari 2026, maanden voor de aankondiging van Scout, publiceerde Microsofts eigen beveiligingsblog een harde waarschuwing over OpenClaw, waarin botweg werd gesteld dat het "niet geschikt is om op een standaard persoonlijke of bedrijfsmachine te draaien" . Een afzonderlijke audit door Kaspersky identificeerde later 512 kwetsbaarheden in het framework, waarvan acht als kritiek werden geclassificeerd .

De ernst en frequentie van deze onthullingen creëerden een uitdagende achtergrond voor elke productlancering, laat staan voor een lancering die een altijd actieve agent positioneert als vertrouwde digitale collega voor bedrijven.

De Vijf Zero-Day Kwetsbaarheden op Build 2026

Rond de tijd van de onthulling van Scout openbaarden onderzoekers vijf specifieke zero-day kwetsbaarheden in OpenClaw die direct de vertrouwensgrens en het 'allowlist'-model ondermijnen – precies het mechanisme waarop Scout moet vertrouwen om veilig commando's namens een gebruiker uit te voeren.

De ernstigste bevinding was een keten van vier kwetsbaarheden genaamd 'Claw Chain', met CVE-identificaties CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, en CVE-2026-44118. Deze lekken kunnen door een aanvaller aan elkaar worden gekoppeld om van code-uitvoering in een sandbox naar volledige persistentie op hostniveau te gaan, zonder dat conventionele beveiligingswaarschuwingen worden geactiveerd . De kritieke kwetsbaarheid in de keten, CVE-2026-44112, heeft een CVSS-score van 9.6 en stelt een aanvaller in staat om bestandssysteemschrijfacties buiten de sandbox-grens van OpenClaw om te leiden, waardoor configuratie-manipulatie en backdoor-installatie op de onderliggende host mogelijk wordt .

Bijkomende zero-days legden zwakheden bloot in hoe OpenClaw vertrouwde commando's verwerkt. CVE-2026-41390 onthulde dat het 'allow-always'-persistentiemechanisme van het framework bepaalde systeemwrappers zoals /usr/bin/script niet uitpakt voordat vertrouwensbeslissingen worden opgeslagen. Dit betekent dat een aanvaller die een gebruiker overtuigt om één ingepakt, onschuldig lijkend commando goed te keuren, blijvend toekomstige beveiligingsprompts kan omzeilen en willekeurige code kan uitvoeren . CVE-2026-29607 legde een vergelijkbaar persistentieprobleem op wrapperniveau bloot: het goedkeuren van één ingepakt system.run-commando met 'allow-always' kon allowlist-regels op wrapperniveau laten voortbestaan in plaats van op het niveau van het interne commando, waardoor latere uitvoering van totaal andere, kwaadaardige payloads zonder goedkeuring mogelijk werd .

CVE-2026-3689 (geregistreerd als ZDI-26-227) was een path traversal-kwetsbaarheid in OpenClaw Canvas die het voor externe aanvallers mogelijk maakte om gevoelige informatie te achterhalen van getroffen installaties . Naast deze specifieke CVEs identificeerden onderzoekers ook onjuiste identiteitsresolutie die aanvallers in staat stelde om vertrouwde gebruikers te imiteren, simpelweg door hun weergavenaam te wijzigen zodat deze overeenkwam met een naam op de allowlist van berichtenplatforms. Hiermee konden ze de toegang tot AI-agents op meerdere diensten kapen .

Het Terugkerende Patroon: Allowlist Bypasses

Er is een duidelijk patroon dat deze kwetsbaarheden verbindt. Het beveiligingsmodel van OpenClaw leunt zwaar op een exec allowlist – een mechanisme dat een lijst bijhoudt van goedgekeurde commando's en de gebruiker om een prompt vraagt voordat iets onbekends wordt uitgevoerd. Het probleem, zoals onderzoekers herhaaldelijk aantoonden, is dat de allowlist-resolutie consequent faalde om ingepakte, uitgebreide of geketende commando's correct te interpreteren.

Meerdere onafhankelijke onderzoeksteams ontdekten dat OpenClaw vertrouwensbeslissingen persisteerde op het wrapperniveau in plaats van op het stabiele interne uitvoerbare niveau . Aanvallers konden shell-expansietokens inwisselen in niet-gequote heredoc-inhoud, omgevingsinjectie via SHELLOPTS of PS4-variabelen gebruiken om commando-substitutie te activeren voordat het commando op de allowlist werd uitgevoerd, of misparingen in diepte-parsing exploiteren die de detectie van shell-wrappers onderdrukten terwijl ze nog steeds overeenkwamen met de allowlist-resolutie .

Het praktische gevolg was verwoestend: een gebruiker kon via social engineering worden overgehaald om één onschuldig ogend commando goed te keuren, en die ene goedkeuring zou aanvallers een permanente backdoor geven die in staat was willekeurige code op de hostmachine uit te voeren en elke volgende beveiligingsprompt te omzeilen.

Waarom Dit Relevant is voor Scout-implementaties

Scout erft de op vertrouwen-en-allowlist gebaseerde architectuur van OpenClaw rechtstreeks . De agent opereert met altijd-aan-toegang binnen Teams, Outlook en SharePoint – leest e-mails, beheert agenda's, neemt deel aan gesprekken en voert acties uit op de achtergrond. Beveiligingsonderzoekers en enterprise-teams hebben de bezorgdheid geuit dat het combineren van dit niveau van persistente systeemtoegang met een framework dat systematische allowlist-bypass-kwetsbaarheden heeft laten zien, een ongewoon grote 'blast radius' creëert .

Microsoft heeft in Scout extra controles geïmplementeerd die verder gaan dan de standaard OpenClaw. Elke Scout-agent draagt zijn eigen beheerde Entra-identiteit met handhaving van bedrijfsbeleid, en gevoelige acties vereisen expliciete menselijke goedkeuring . Een ingebouwd systeem voor beleidsconformiteit bewaakt continu de acties van Scout en genereert audittrails .

Maar de kerngrens voor commando-uitvoering – het mechanisme dat daadwerkelijk afdwingt welke acties een goedgekeurde agent mag uitvoeren – is rechtstreeks herleidbaar tot de allowlist-implementatie van OpenClaw. Als een aanvaller die grens kan compromitteren, worden de extra governancelaags secundaire verdedigingen in plaats van echte preventie.

Voor enterprise-beveiligingsteams die de privé-preview van Scout evalueren, is de vraag niet of het product nuttig is – vroege demonstraties suggereren dat het opmerkelijk capabel is. De vraag is of het risicoprofiel van het onderliggende framework voldoende is verhard om op verantwoorde wijze een altijd actieve agent met brede organisatietoegang te kunnen inzetten.

Microsoft is in het verleden transparant geweest over de beveiligingsbeperkingen van OpenClaw. De richtlijnen van het bedrijf van februari 2026 erkenden dat de runtime beperkte ingebouwde beveiligingscontroles bevat, niet-vertrouwde tekst kan opnemen en uitvoerbare code van externe bronnen kan downloaden, en acties uitvoert met de toegewezen inloggegevens – waardoor de uitvoeringsgrens effectief verschuift van statische applicatiecode naar dynamisch aangeleverde inhoud, zonder gelijkwaardige identiteits- en privilegecontroles .

Voorlopig blijft Scout in privé-preview, afgeschermd achter het Frontier-programma en een GitHub Copilot-abonnement. Dat geeft Microsoft een gecontroleerd venster om de framework-gerelateerde zorgen aan te pakken die de onthullingen op Build 2026 scherp in beeld hebben gebracht – voordat de agent het bredere zakelijke publiek bereikt waarvoor het duidelijk is ontworpen.