Microsoft Scout: En utrettelig AI-kollega på et vaklende sikkerhetsfundament

Scout integreres direkte i Microsoft 365-økosystemet: Den opererer på tvers av Teams, Outlook, OneDrive og SharePoint, og kobler seg til chatter, e-post, kalendere og kontakter . Den kan bli med i Teams-gruppechatter og håndtere e-posttråder i Outlook helt autonomt. Dette gjør den til den første agenten Microsoft har plassert direkte inn i disse flatene som en fullverdig deltaker, snarere enn som et sidepanelverktøy .

I sin offisielle blogg beskrev Microsoft kjernefunksjonene som å håndtere møteforberedelser, planleggingskonflikter, e-postutkast og rutinemessig oppgavekoordinering uten at brukeren trenger å gi uttrykkelige kommandoer . Scout lærer individuelle arbeidsmønstre over tid, bygger vedvarende minne basert på tilbakemeldinger, og inkluderer et innebygd system for policy-samsvar som kontinuerlig overvåker dens handlinger og genererer revisjonsspor for etterlevelse av bedriftsregler .

Hver Scout-agent opererer med sin egen identitet i Microsoft Entra ID, noe som betyr at den styres av eksisterende retningslinjer for bedriftstilgang. Sensitive handlinger er utformet for å kreve menneskelig godkjenning, og skaper et styringslag som Microsoft håper vil berolige forsiktige sikkerhetsteam i bedrifter .

Tilgjengeligheten ved lansering er begrenset: Scout tilbys eksklusivt gjennom Microsofts «Frontier»-program for tidlige brukere og krever et GitHub Copilot-abonnement . Den forblir en privat forhåndsvisning foreløpig, noe som begrenser bred tilgang mens Microsoft finjusterer opplevelsen.

OpenClaw-fundamentet: Et rammeverk under beleiring

Det som gjør Scout-utrullingen spesielt bekymringsfull, er dens tekniske fundament. Scout er bygget på OpenClaw, et åpen kildekode-rammeverk for autonome agenter som har opplevd et av de mest turbulente sikkerhetsårene i nyere programvarehistorie. Microsofts kontekstmotor Work IQ gir et ekstra lag, men OpenClaw håndterer den grunnleggende agent-orkestreringen .

Da Scout ble avduket, hadde OpenClaw allerede samlet over 138 dokumenterte CVE-er (sårbarheter) bare i 2026 . Rammeverket led årets største bekreftede forsyningskjedeangrep mot KI-agenter, der 1184 ondsinnede markedsplasspakker ble oppdaget. Over 135 000 instanser i 82 land ble funnet eksponert på det offentlige internett, mange uten autentisering konfigurert .

I februar 2026, måneder før Scout-annonseringen, publiserte Microsofts egen sikkerhetsblogg en sterk advarsel om OpenClaw og fastslo uten omsvøp at det «ikke er egnet til å kjøre på en vanlig personlig datamaskin eller bedriftsmaskin» . En separat revisjon fra Kaspersky identifiserte senere 512 sårbarheter i rammeverket, hvorav åtte ble klassifisert som kritiske .

Alvorlighetsgraden og hyppigheten av disse avsløringene skapte et utfordrende bakteppe for enhver produktlansering, for ikke å snakke om en som posisjonerer en alltid aktiv agent som en pålitelig bedriftskollega.

De fem null-dagers sårbarhetene ved Build 2026

Rundt tidspunktet for Scout-avdukingen offentliggjorde forskere fem spesifikke null-dagers sårbarheter i OpenClaw som direkte undergraver dens tillitsgrense og godkjenningslistemodell – nettopp den mekanismen Scout må stole på for å trygt kunne utføre kommandoer på en brukers vegne.

Det mest alvorlige funnet var en kjede av fire sårbarheter kalt «Claw Chain», tildelt CVE-identifikatorene CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 og CVE-2026-44118. Disse svakhetene kan lenkes sammen av en angriper for å gå fra kodekjøring i sandkassen til full vedvarende tilstedeværelse på vertsmaskinen, uten å utløse konvensjonelle sikkerhetsalarmer . Den kritiske sårbarheten i kjeden, CVE-2026-44112, har en CVSS-poengsum på 9,6 og lar en angriper omdirigere filsystems-skriving utenfor OpenClaws sandkassegrense, noe som muliggjør konfigurasjonsmanipulasjon og installasjon av bakdører på den underliggende verten .

Ytterligere null-dagers sårbarheter eksponerte svakheter i hvordan OpenClaw behandler klarerte kommandoer. CVE-2026-41390 avslørte at rammeverkets «tillat-alltid»-mekanisme for vedvarende godkjenning ikke klarte å pakke ut visse systeminnpakninger som /usr/bin/script før tillitsbeslutninger ble lagret. Dette betyr at en angriper som overbeviser en bruker om å godkjenne én innpakket, tilsynelatende harmløs kommando, kan oppnå vedvarende omgåelse av fremtidige sikkerhetsspørsmål og kjøre vilkårlig kode . CVE-2026-29607 avslørte en lignende svikt: å godkjenne en innpakket system.run-kommando med «tillat-alltid» kunne opprettholde godkjenningsliste-oppføringer på innpakningsnivået i stedet for det underliggende kommandonivået, noe som tillot senere omgåelse og kjøring av helt andre, ondsinnede nyttelaster .

CVE-2026-3689 (registrert som ZDI-26-227) var et svakhet i stifinning i OpenClaw Canvas som tillot eksterne angriper å hente ut sensitiv informasjon fra berørte installasjoner . Utover disse spesifikke CVE-ene identifiserte forskere også feil i identitetsoppløsningen som lot angripere utgi seg for å være klarerte brukere, ganske enkelt ved å endre visningsnavnet sitt til å matche en identitet på godkjenningslisten på meldingsplattformer, og dermed kapre KI-agentens tilgang på tvers av flere tjenester .

Det gjentakende mønsteret: Omgåelse av godkjenningslister

Et tydelig mønster forbinder disse sårbarhetene. OpenClaws sikkerhetsmodell er sterkt avhengig av en kjøregodkjenningsliste – en mekanisme som opprettholder en liste over godkjente kommandoer og spør brukeren før noe ugjenkjennelig utføres. Problemet, som forskere gjentatte ganger demonstrerte, er at oppløsningen av godkjenningslisten konsekvent mislyktes i å tolke innpakkede, utvidede eller lenkede kommandoer riktig.

Flere uavhengige forskerteam fant at OpenClaw lagret tillitsavgjørelser på innpakningsnivået i stedet for det stabile, underliggende kjørbare nivået . Angripere kunne bygge inn skallutvidelses-tokens i ukvoterte «heredoc»-blokker, bruke miljøinjeksjon via SHELLOPTS- eller PS4-variabler for å utløse kommandosubstitusjon før den godkjente kommandoen kjørte, eller utnytte feil i dybdeparsing som undertrykte deteksjon av skallinnpakning mens man fremdeles matchet oppløsningen av godkjenningslisten .

Den praktiske konsekvensen var ødeleggende: En bruker kunne bli sosialt manipulert til å godkjenne én tilsynelatende harmløs kommando, og denne ene godkjenningen ville gi angripere en vedvarende bakdør i stand til å kjøre vilkårlig kode på vertsmaskinen, og omgå alle påfølgende sikkerhetsspørsmål.

Hvorfor dette er viktig for Scout-utrullinger

Scout arver OpenClaws arkitektur for tillit og godkjenningslister direkte . Agenten opererer med alltid-aktiv tilgang i Teams, Outlook og SharePoint – leser e-poster, administrerer kalendere, deltar i samtaler og utfører handlinger i bakgrunnen. Sikkerhetsforskere og IT-team i bedrifter har uttrykt bekymring for at kombinasjonen av et slikt nivå av vedvarende systemtilgang med et rammeverk som har demonstrert systematiske sårbarheter for omgåelse av godkjenningslister, skaper en uvanlig stor angrepsflate .

Microsoft har implementert ytterligere kontroller i Scout som går utover standard OpenClaw. Hver Scout-agent har sin egen styrte Entra-identitet med håndhevelse av bedriftens retningslinjer, og sensitive handlinger er utformet for å kreve uttrykkelig menneskelig godkjenning . Et innebygd system for policy-samsvar overvåker kontinuerlig Scouts handlinger og genererer revisjonsspor .

Men den grunnleggende grensen for kommandoutførelse – selve mekanismen som håndhever hvilke handlinger en godkjent agent kan utføre – stammer direkte fra OpenClaws implementasjon av godkjenningslister. Hvis en angriper kan kompromittere denne grensen, blir de ekstra styringslagene sekundære forsvarsverk snarere enn reell forebygging.

For sikkerhetsteam i bedrifter som evaluerer Scouts private forhåndsvisning, er spørsmålet ikke om produktet er nyttig – tidlige demonstrasjoner antyder at det er bemerkelsesverdig kapabelt. Spørsmålet er om risikoprofilen til det underliggende rammeverket er tilstrekkelig herdet til å forsvarlig kunne utplassere en alltid aktiv agent med bred organisasjonstilgang.

Microsoft har tidligere vært åpne om OpenClaws sikkerhetsbegrensninger. Selskapets veiledning fra februar 2026 anerkjente at kjøretidsmiljøet inkluderer begrensede innebygde sikkerhetskontroller, kan motta uklarert tekst og laste ned kjørbar kode fra eksterne kilder, og utfører handlinger med tildelte påloggingsdetaljer – noe som effektivt flytter kjøregrensen fra statisk applikasjonskode til dynamisk levert innhold uten tilsvarende identitets- og tilgangskontroller .

Foreløpig forblir Scout i privat forhåndsvisning, begrenset til Frontier-programmet og et GitHub Copilot-abonnement. Det gir Microsoft et kontrollert vindu til å adressere bekymringene på rammeverknivå som Build 2026-avsløringene satte skarpt søkelys på – før agenten når det bredere bedriftsmarkedet den tydeligvis er designet for.