Microsoft Scout: вогні рампи та тінь кіберзагроз

Scout безпосередньо інтегрується в екосистему Microsoft 365: він працює в Teams, Outlook, OneDrive та SharePoint, під'єднуючись до чатів, електронної пошти, календарів і контактів . Він може автономно приєднуватися до групових чатів у Teams та обробляти ланцюжки листів в Outlook — це перший агент, якого Microsoft розмістила безпосередньо в цих сервісах як повноцінного учасника, а не бічний інструмент .

Офіційний блог Microsoft описав його ключові можливості як підготовку до зустрічей, вирішення конфліктів у розкладі, складання листів та координацію рутинних завдань без необхідності явних команд користувача . Scout з часом вивчає індивідуальні моделі роботи, формує постійну пам'ять на основі зворотного зв'язку та має вбудовану систему відповідності політикам, яка постійно відстежує його дії та створює аудиторські сліди для корпоративного комплаєнсу .

Кожен агент Scout працює з власною ідентичністю в Microsoft Entra ID, а отже, підпадає під дію чинних корпоративних політик доступу. Чутливі дії за задумом потребують підтвердження людиною, що створює рівень управління, який, як сподіваються в Microsoft, задовольнить обережні команди корпоративної безпеки .

Доступність на старті обмежена: Scout пропонується виключно через програму раннього доступу Microsoft Frontier та потребує передплати GitHub Copilot . Наразі це закрите прев'ю, що обмежує широкий доступ, поки Microsoft вдосконалює продукт.

Фундамент OpenClaw: фреймворк в облозі

Що робить вихід Scout особливо тривожним, так це його технічна основа. Scout побудований на OpenClaw, автономному агентному фреймворку з відкритим кодом, який пережив один із найбурхливіших років з точки зору безпеки в новітній історії програмного забезпечення. Додатковий рівень забезпечує контекстний рушій Microsoft Work IQ, але саме OpenClaw відповідає за основну оркестрацію агента .

На момент презентації Scout, лише у 2026 році OpenClaw накопичив понад 138 задокументованих CVE (Common Vulnerabilities and Exposures — загальновідомих вразливостей) . Фреймворк зазнав найбільшої підтвердженої атаки на ланцюжок постачання ШІ-агента за рік: було виявлено 1184 шкідливих пакети на маркетплейсі, а понад 135 000 інстансів у 82 країнах були знайдені відкритими в публічному інтернеті, часто без жодної автентифікації .

У лютому 2026 року, за кілька місяців до анонсу Scout, власний блог безпеки Microsoft опублікував відверте попередження про OpenClaw, прямо заявивши, що його «недоречно запускати на стандартній особистій чи корпоративній машині» . Окремий аудит «Лабораторії Касперського» пізніше виявив 512 вразливостей у фреймворку, вісім з яких були класифіковані як критичні .

Серйозність і частота цих розкриттів створили складний фон для будь-якого запуску продукту, не кажучи вже про позиціонування завжди активного агента як надійного корпоративного співробітника.

П'ять вразливостей нульового дня на Build 2026

Приблизно під час презентації Scout дослідники розкрили п'ять конкретних вразливостей нульового дня в OpenClaw, які безпосередньо підривають його модель довірчих меж та «білих списків» (allowlist) — саме той механізм, на який Scout мусить покладатися для безпечного виконання команд від імені користувача.

Найсерйознішою знахідкою став ланцюжок із чотирьох вразливостей під назвою «Claw Chain», яким присвоєно ідентифікатори CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 та CVE-2026-44118. Ці вади можуть бути об'єднані зловмисником для переходу від виконання коду в «пісочниці» до повного закріплення на рівні хоста без спрацювання звичайних сповіщень безпеки . Критична вразливість у ланцюжку, CVE-2026-44112, має оцінку CVSS 9.6 і дозволяє зловмиснику перенаправляти записи файлової системи за межі «пісочниці» OpenClaw, що уможливлює втручання в конфігурацію та встановлення бекдорів на основному хості .

Додаткові вразливості нульового дня виявили слабкі місця в тому, як OpenClaw обробляє довірені команди. CVE-2026-41390 показала, що механізм збереження «allow-always» (завжди дозволяти) не «розгортає» певні системні обгортки, як-от /usr/bin/script, перед збереженням рішень про довіру. Це означає, що зловмисник, який переконає користувача схвалити одну «загорнуту», безневинну на вигляд команду, може постійно оминати майбутні запити безпеки та виконувати довільний код . CVE-2026-29607 викрила подібну ваду збереження на рівні обгорток: схвалення однієї «загорнутої» команди system.run з «allow-always» могло зберегти записи «білого списку» на рівні обгортки, а не внутрішньої команди, що дозволяло пізніше виконувати зовсім інші, шкідливі команди в обхід схвалення .

CVE-2026-3689 (зареєстрована як ZDI-26-227) була вразливістю обходу каталогу (path traversal) в OpenClaw Canvas, що дозволяла віддаленим зловмисникам розкривати конфіденційну інформацію з уражених інсталяцій . Крім цих конкретних CVE, дослідники також виявили вади неправильного визначення ідентичності, які дозволяли зловмисникам видавати себе за довірених користувачів, просто змінивши своє ім'я на таке, що збігається з іменем у «білому списку» на платформах обміну повідомленнями, перехоплюючи доступ ШІ-агента до кількох сервісів .

Повторювана закономірність: обходи «білого списку»

Ці вразливості об'єднує чітка закономірність. Модель безпеки OpenClaw значною мірою покладається на «білий список» виконання (exec allowlist) — механізм, який підтримує список схвалених команд і запитує користувача перед виконанням будь-чого нерозпізнаного. Проблема, як неодноразово демонстрували дослідники, полягала в тому, що перевірка «білого списку» постійно не могла правильно інтерпретувати «загорнуті», розширені або об'єднані в ланцюжки команди.

Кілька незалежних дослідницьких груп виявили, що OpenClaw зберігав рішення про довіру на рівні обгортки, а не на рівні стабільної внутрішньої виконуваної програми . Зловмисники могли вбудовувати токени розширення оболонки в тіла непроцитованих heredoc-структур, використовувати ін'єкції змінних середовища через SHELLOPTS або PS4 для запуску підстановки команд перед виконанням дозволеної команди, або використовувати невідповідності аналізу глибини, які придушували виявлення обгорток оболонки, водночас збігаючись із правилами «білого списку» .

Практичний наслідок був нищівним: користувача можна було за допомогою соціальної інженерії змусити схвалити одну безпечну на вигляд команду, і це єдине схвалення давало зловмисникам постійний бекдор, здатний виконувати довільний код на головній машині, оминаючи всі наступні запити безпеки.

Чому це важливо для розгортання Scout

Scout безпосередньо успадковує архітектуру довіри та «білих списків» OpenClaw . Агент працює з постійним доступом у Teams, Outlook та SharePoint — читає листи, керує календарями, приєднується до розмов і виконує дії у фоновому режимі. Дослідники безпеки та корпоративні команди висловили занепокоєння, що поєднання такого рівня постійного доступу до системи з фреймворком, який продемонстрував систематичні вразливості обходу «білого списку», створює надзвичайно широкий радіус ураження .

Microsoft впровадила в Scout додаткові засоби контролю, які виходять за рамки стандартного OpenClaw. Кожен агент Scout має власну керовану ідентичність Entra ID з дотриманням корпоративних політик, а чутливі дії за задумом потребують явного підтвердження людиною . Вбудована система відповідності політикам постійно відстежує дії Scout і створює аудиторські сліди .

Але ключова межа виконання команд — механізм, який фактично визначає, які дії дозволений агент може виконувати — безпосередньо походить від реалізації «білого списку» OpenClaw. Якщо зловмисник зможе скомпрометувати цю межу, додаткові рівні управління стають радше вторинним захистом, аніж справжньою профілактикою.

Для команд корпоративної безпеки, які оцінюють закрите прев'ю Scout, питання не в тому, чи корисний продукт — ранні демонстрації свідчать, що він напрочуд здібний. Питання в тому, чи профіль ризику базового фреймворку був достатньо посилений для відповідального розгортання завжди активного агента з широким організаційним доступом.

У минулому Microsoft відверто визнавала обмеження безпеки OpenClaw. У лютому 2026 року їхні рекомендації зазначали, що середовище виконання має обмежені вбудовані засоби контролю безпеки, може отримувати ненадійний текст і завантажувати виконуваний код із зовнішніх джерел, а також виконувати дії з використанням призначених облікових даних — що фактично переносить межу виконання зі статичного коду додатку на динамічно наданий контент без еквівалентного контролю ідентичності та привілеїв .

Наразі Scout залишається у закритому прев'ю, доступ до якого обмежений програмою Frontier та передплатою GitHub Copilot. Це дає Microsoft контрольований період для усунення проблем на рівні фреймворку, які розкриття на Build 2026 вивели на перший план — до того, як агент потрапить до ширшої корпоративної аудиторії, для якої він, вочевидь, і створений.