Microsoft Scout: всегда активный ИИ-агент, омрачённый кризисом безопасности

Scout напрямую интегрирован в экосистему Microsoft 365: работает в Teams, Outlook, OneDrive и SharePoint, подключаясь к чатам, почте, календарям и контактам . Он способен автономно присоединяться к групповым чатам в Teams и управлять цепочками писем в Outlook — это первый агент, которого Microsoft поместила непосредственно в эти приложения как полноценного участника, а не в боковую панель .

В официальном блоге Microsoft ключевые возможности Scout описывались как подготовка к встречам, разрешение конфликтов в расписании, составление черновиков писем и координация рутинных задач без необходимости явных пользовательских команд . Со временем Scout обучается индивидуальным рабочим шаблонам, формирует устойчивую память на основе обратной связи и включает встроенную систему соответствия политикам, которая непрерывно отслеживает его действия и генерирует аудиторский след для корпоративного комплаенса .

Каждый агент Scout действует с собственной учётной записью Microsoft Entra ID, а значит, подчиняется существующим корпоративным политикам доступа. Действия, требующие особой осторожности, спроектированы так, чтобы требовалось подтверждение человека. Этот уровень управления призван убедить осторожные службы безопасности предприятий .

На старте доступ ограничен: Scout предлагается эксклюзивно через программу раннего доступа Microsoft Frontier и требует наличия подписки GitHub Copilot . Пока продукт находится в закрытом превью, что даёт Microsoft контролируемое окно для доработки перед широким выходом.

Фундамент OpenClaw: фреймворк в осаде

Особую обеспокоенность вызывает технический фундамент Scout. Агент построен на OpenClaw — опенсорсном фреймворке автономных агентов, переживающем один из самых бурных периодов в новейшей истории программного обеспечения. Дополнительный уровень добавляет контекстный движок Work IQ от Microsoft, однако именно OpenClaw отвечает за базовую оркестровку агента .

К моменту презентации Scout на счету OpenClaw только за 2026 год накопилось более 138 документированных CVE . Фреймворк пострадал от крупнейшей подтверждённой атаки на цепочку поставок ИИ-агентов в году: было обнаружено 1184 вредоносных пакета в маркетплейсе, а более 135 000 инстансов в 82 странах оказались открыты в публичном интернете, многие без какой-либо аутентификации .

В феврале 2026-го, за несколько месяцев до анонса Scout, в собственном блоге безопасности Microsoft появилось жёсткое предупреждение касательно OpenClaw. Прямым текстом говорилось, что его «не следует запускать на стандартной личной или корпоративной машине» . Отдельный аудит «Лаборатории Касперского» позднее выявил 512 уязвимостей в этом фреймворке, восемь из которых классифицированы как критические .

Степень серьёзности и частота этих разоблачений создали крайне неблагоприятный фон для любого запуска продукта, тем более такого, который позиционирует всегда активного агента как надёжного корпоративного цифрового сотрудника.

Пять уязвимостей нулевого дня на Build 2026

В дни презентации Scout исследователи раскрыли пять отдельных уязвимостей нулевого дня в OpenClaw, напрямую подрывающих его модель доверия и механизм «белых списков» — ровно тот механизм, на который вынужден полагаться Scout для безопасного выполнения команд.

Самой опасной находкой стала цепочка из четырёх уязвимостей, получившая название «Claw Chain». Ей присвоены идентификаторы CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 и CVE-2026-44118. Связанные вместе, эти бреши позволяют злоумышленнику продвинуться от выполнения кода в «песочнице» до полного закрепления на уровне хоста, не вызывая срабатывания стандартных средств защиты . Критическая уязвимость в цепочке, CVE-2026-44112, имеет оценку CVSS 9.6 и позволяет перенаправлять операции записи файловой системы за границы «песочницы» OpenClaw, что открывает возможности для подмены конфигураций и установки бэкдоров на хосте .

Другие уязвимости нулевого дня вскрыли слабости обработки доверенных команд в OpenClaw:

• CVE-2026-41390 показала, что механизм сохранения «allow-always» не может «развернуть» некоторые системные обёртки вроде /usr/bin/script перед сохранением решений о доверии. Это значит, что злоумышленник, убедивший пользователя одобрить одну безобидную на вид команду в обёртке, может перманентно обходить будущие запросы безопасности и выполнять произвольный код .
• CVE-2026-29607 вскрыла похожий изъян сохранения на уровне обёртки: одобрение одной обёрнутой команды system.run с флагом «allow-always» могло сохранять запись «белого списка» для обёртки, а не для внутренней команды. Это позволяло впоследствии выполнять совсем иные, вредоносные нагрузки в обход согласования .
• CVE-2026-3689 (зарегистрирована как ZDI-26-227) представляла собой уязвимость обхода пути в OpenClaw Canvas, позволявшую удалённым злоумышленникам раскрывать конфиденциальную информацию с затронутых инсталляций .

Помимо конкретных CVE, исследователи также выявили дефекты некорректного разрешения идентификаторов, позволявшие выдавать себя за доверенных пользователей простой сменой отображаемого имени на имя из «белого списка» в мессенджерах. Это давало возможность перехватывать доступ ИИ-агента сразу к нескольким сервисам .

Повторяющийся паттерн: обход «белых списков»

Эти уязвимости связывает чёткий паттерн. Модель безопасности OpenClaw сильно полагается на exec allowlist — механизм, который ведёт список одобренных команд и запрашивает подтверждение пользователя, прежде чем выполнить что-то нераспознанное. Проблема, которую неоднократно демонстрировали исследователи, заключалась в том, что алгоритм сверки со «белым списком» систематически не мог корректно интерпретировать обёрнутые, дополненные или сцепленные команды.

Несколько независимых команд установили, что OpenClaw сохраняет решения о доверии на уровне обёртки, а не на уровне стабильной внутренней исполняемой сути . Злоумышленники могли встраивать токены расширения оболочки в тела незакавыченных heredoc-конструкций, использовать инъекции переменных окружения вроде SHELLOPTS или PS4, вызывая подстановку команд до выполнения разрешённой, или эксплуатировать расхождения в глубине парсинга, которые подавляли обнаружение оболочки, но при этом совпадали с логикой «белого списка» .

Практические последствия были разрушительными: пользователя можно было методами социальной инженерии склонить одобрить одну безобидную команду, и этого единственного разрешения хватало злоумышленникам для создания перманентного бэкдора, способного выполнять произвольный код на хосте, в обход всех последующих запросов безопасности.

Почему это важно для развёртывания Scout

Scout напрямую наследует архитектуру доверия и «белых списков» OpenClaw . Агент функционирует с постоянным доступом внутри Teams, Outlook и SharePoint — читает почту, управляет календарями, присоединяется к беседам и выполняет действия в фоне. Исследователи в области безопасности и корпоративные команды выражают озабоченность: комбинация такого уровня постоянного доступа к системам с фреймворком, демонстрирующим систематические уязвимости обхода «белых списков», создаёт необычайно широкий радиус поражения .

Microsoft внедрила в Scout дополнительные средства контроля, выходящие за рамки стандартного OpenClaw. Каждый агент Scout имеет собственную управляемую учётную запись Entra ID c применением корпоративных политик, а критически важные действия требуют явного подтверждения человеком . Встроенная система соответствия непрерывно мониторит действия Scout и формирует аудиторский след .

Однако базовый периметр исполнения команд — тот самый механизм, который фактически определяет, какие действия дозволены агенту — восходит непосредственно к реализации «белого списка» в OpenClaw. Если злоумышленник сможет скомпрометировать этот периметр, дополнительные уровни управления становятся лишь вторичной защитой, а не реальной преградой.

Для служб безопасности предприятий, тестирующих закрытое превью Scout, вопрос не в том, полезен ли продукт — ранние демонстрации показывают его впечатляющие способности. Вопрос в том, был ли профиль риска базового фреймворка достаточно укреплён, чтобы ответственно развернуть постоянно активного агента с широким организационным доступом.

Ранее Microsoft прозрачно признавала ограничения безопасности OpenClaw. В рекомендациях от февраля 2026 года компания отметила, что среда исполнения включает ограниченные встроенные средства защиты, может принимать непроверенный текст и загружать исполняемый код из внешних источников, а также выполнять действия с использованием назначенных учётных данных. Фактически это смещает границу исполнения от статического кода приложения к динамически подгружаемому контенту без эквивалентных средств контроля идентификации и привилегий .

Пока Scout остаётся в закрытом превью, доступном через программу Frontier и подписку GitHub Copilot. Это даёт Microsoft контролируемое окно для устранения проблем на уровне фреймворка, которые disclosures на Build 2026 вывели на первый план, — до того как агент попадёт к широкой корпоративной аудитории, для которой он очевидно и создавался.