Microsoft Scout: Bước Đi Táo Bạo vào Kỷ Nguyên AI “Tự Lái” và Những Lỗ Hổng An Ninh Gây Sốc

Scout tích hợp trực tiếp vào hệ sinh thái Microsoft 365: nó hoạt động trên Teams, Outlook, OneDrive và SharePoint, kết nối với các cuộc trò chuyện, email, lịch và danh bạ . Nó có thể tham gia các cuộc trò chuyện nhóm trên Teams và xử lý các luồng email Outlook một cách tự động – biến nó thành tác nhân đầu tiên được Microsoft đặt vào bên trong các ứng dụng đó như một người tham gia thực thụ, chứ không phải là một công cụ trên thanh bên .

Blog chính thức của Microsoft mô tả các khả năng cốt lõi của nó bao gồm xử lý việc chuẩn bị cuộc họp, xung đột lịch trình, soạn thảo email và điều phối các công việc thường ngày mà không cần các lệnh rõ ràng từ người dùng . Scout học các mẫu hình làm việc của từng cá nhân theo thời gian, xây dựng bộ nhớ bền vững từ phản hồi của người dùng và bao gồm một hệ thống tuân thủ chính sách tích hợp liên tục giám sát các hành động của nó và tạo ra các dấu vết kiểm toán cho mục đích tuân thủ doanh nghiệp .

Mỗi tác nhân Scout hoạt động với danh tính Microsoft Entra ID riêng, nghĩa là nó được quản lý bởi các chính sách truy cập hiện có của công ty. Các hành động nhạy cảm được thiết kế để yêu cầu sự phê duyệt của con người, tạo ra một lớp quản trị mà Microsoft hy vọng sẽ làm hài lòng các đội ngũ an ninh doanh nghiệp thận trọng .

Tính khả dụng tại thời điểm ra mắt còn hạn chế: Scout được cung cấp độc quyền thông qua chương trình người dùng sớm Frontier của Microsoft và yêu cầu đăng ký GitHub Copilot . Hiện tại, nó vẫn là bản xem trước riêng tư, hạn chế truy cập rộng rãi trong khi Microsoft hoàn thiện trải nghiệm.

Nền Tảng OpenClaw: Một Khung Sườn Bị Vây Hãm

Điều khiến cho việc triển khai Scout trở nên đáng lo ngại một cách đặc biệt chính là nền tảng kỹ thuật của nó. Scout được xây dựng trên OpenClaw, một khung tác nhân tự động mã nguồn mở đã trải qua một trong những năm bảo mật hỗn loạn nhất trong lịch sử phần mềm gần đây. Công cụ ngữ cảnh Work IQ của Microsoft cung cấp một lớp bổ sung, nhưng OpenClaw mới là thứ xử lý việc điều phối tác nhân cốt lõi .

Vào thời điểm Scout được công bố, OpenClaw đã tích lũy hơn 138 lỗ hổng CVE (Common Vulnerabilities and Exposures - Định danh Lỗ hổng và Rủi ro Phổ biến) chỉ riêng trong năm 2026 . Khung sườn này đã hứng chịu cuộc tấn công chuỗi cung ứng tác nhân AI lớn nhất được xác nhận trong năm, với 1.184 gói phần mềm độc hại trên Marketplace bị phát hiện, và hơn 135.000 phiên bản trên khắp 82 quốc gia được tìm thấy đang phơi bày trên internet công cộng, nhiều trong số đó không có cấu hình xác thực nào .

Vào tháng 2 năm 2026, nhiều tháng trước khi Scout được công bố, chính blog bảo mật của Microsoft đã xuất bản một cảnh báo nghiêm khắc về OpenClaw, tuyên bố thẳng thừng rằng nó “không phù hợp để chạy trên một máy tính cá nhân hoặc doanh nghiệp thông thường” . Một cuộc kiểm toán riêng biệt của Kaspersky sau đó đã xác định được 512 lỗ hổng trong khung sườn này, tám trong số đó được phân loại là nghiêm trọng .

Mức độ nghiêm trọng và tần suất của những tiết lộ này đã tạo ra một bối cảnh đầy thách thức cho bất kỳ đợt ra mắt sản phẩm nào, chứ đừng nói đến việc định vị một tác nhân luôn trực tuyến như một “đồng nghiệp” doanh nghiệp đáng tin cậy.

Năm Lỗ Hổng Zero-Day Tại Build 2026

Cùng khoảng thời gian Scout được tiết lộ, các nhà nghiên cứu đã công bố năm lỗ hổng zero-day cụ thể trong OpenClaw, những lỗ hổng trực tiếp phá hoại ranh giới tin cậy và mô hình danh sách cho phép (allowlist) của nó – chính là cơ chế mà Scout phải dựa vào để thực thi lệnh một cách an toàn thay mặt người dùng.

Phát hiện nghiêm trọng nhất là một chuỗi bốn lỗ hổng được đặt tên là "Claw Chain", với các định danh CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 và CVE-2026-44118. Những lỗ hổng này có thể được liên kết với nhau bởi kẻ tấn công để tiến từ việc thực thi mã trong hộp cát (sandbox) đến việc thiết lập sự hiện diện bền vững ở cấp độ máy chủ (host-level persistence) mà không kích hoạt các cảnh báo bảo mật thông thường . Lỗ hổng nghiêm trọng nhất trong chuỗi, CVE-2026-44112, có điểm CVSS 9.6 và cho phép kẻ tấn công chuyển hướng các hoạt động ghi hệ thống tệp ra bên ngoài ranh giới sandbox của OpenClaw, cho phép can thiệp cấu hình và cài đặt cửa hậu (backdoor) trên máy chủ cơ sở .

Các lỗ hổng zero-day bổ sung đã phơi bày những điểm yếu trong cách OpenClaw xử lý các lệnh đáng tin cậy. CVE-2026-41390 tiết lộ rằng cơ chế lưu trữ quyết định tin cậy "allow-always" của khung sườn này không thể “mở gói” (unwrap) một số trình bao bọc (wrapper) hệ thống như /usr/bin/script trước khi lưu trữ các quyết định tin cậy. Điều này có nghĩa là kẻ tấn công thuyết phục người dùng phê duyệt một lệnh trông có vẻ vô hại nhưng đã được “bọc” lại có thể bỏ qua mọi lời nhắc bảo mật trong tương lai và thực thi mã tùy ý . CVE-2026-29607 cũng phơi bày một lỗ hổng tương tự: việc phê duyệt một lệnh system.run đã được bọc bằng tùy chọn "allow-always" có thể lưu trữ các mục danh sách cho phép ở cấp độ trình bao bọc thay vì cấp độ lệnh bên trong, cho phép sau đó bỏ qua phê duyệt để thực thi các payload độc hại hoàn toàn khác .

CVE-2026-3689 (được đăng ký là ZDI-26-227) là một lỗ hổng truy xuất đường dẫn (path traversal) trong OpenClaw Canvas, cho phép kẻ tấn công từ xa tiết lộ thông tin nhạy cảm từ các cài đặt bị ảnh hưởng . Ngoài các CVE cụ thể này, các nhà nghiên cứu cũng xác định được các lỗ hổng phân giải danh tính không đúng cách, cho phép kẻ tấn công mạo danh người dùng đáng tin cậy chỉ đơn giản bằng cách đổi tên của chúng để khớp với tên hiển thị trong danh sách cho phép trên các nền tảng nhắn tin, từ đó chiếm quyền truy cập tác nhân AI trên nhiều dịch vụ .

Mẫu Số Chung: Các Lỗi Vượt Qua Danh Sách Cho Phép

Một mẫu hình rõ ràng đã kết nối những lỗ hổng này. Mô hình bảo mật của OpenClaw phụ thuộc rất nhiều vào một danh sách cho phép thực thi (exec allowlist) – một cơ chế duy trì danh sách các lệnh đã được phê duyệt và nhắc nhở người dùng trước khi thực thi bất cứ thứ gì không được nhận dạng. Vấn đề, như các nhà nghiên cứu đã nhiều lần chứng minh, là quá trình phân giải danh sách cho phép này liên tục thất bại trong việc diễn giải đúng các lệnh đã được bọc, mở rộng hoặc liên kết với nhau.

Nhiều nhóm nghiên cứu độc lập đã phát hiện ra rằng OpenClaw lưu giữ các quyết định tin cậy ở cấp độ trình bao bọc chứ không phải ở cấp độ lệnh thực thi bên trong ổn định . Kẻ tấn công có thể nhúng các mã thông báo mở rộng shell (shell expansion tokens) vào trong các phần thân heredoc không được trích dẫn, sử dụng việc tiêm biến môi trường qua SHELLOPTS hoặc PS4 để kích hoạt thay thế lệnh trước khi lệnh được phép chạy, hoặc khai thác sự không khớp trong phân tích cú pháp độ sâu (depth-parsing mismatches) để vô hiệu hóa việc phát hiện trình bao bọc shell trong khi vẫn khớp với phân giải danh sách cho phép .

Hậu quả thực tế thật khủng khiếp: một người dùng có thể bị lừa phê duyệt một lệnh trông vô hại, và chỉ một lần phê duyệt đó thôi sẽ cấp cho kẻ tấn công một cửa hậu bền vững có khả năng thực thi mã tùy ý trên máy chủ, né tránh mọi lời nhắc bảo mật sau đó.

Tại Sao Điều Này Lại Quan Trọng Đối Với Việc Triển Khai Scout?

Scout kế thừa trực tiếp kiến trúc tin cậy và danh sách cho phép của OpenClaw . Tác nhân này hoạt động với quyền truy cập luôn bật bên trong Teams, Outlook và SharePoint – đọc email, quản lý lịch, tham gia các cuộc trò chuyện và thực hiện các hành động trong nền. Các nhà nghiên cứu bảo mật và các nhóm doanh nghiệp đã bày tỏ lo ngại rằng việc kết hợp mức độ truy cập hệ thống bền bỉ này với một khung sườn đã chứng minh có các lỗ hổng vượt qua danh sách cho phép một cách có hệ thống sẽ tạo ra một bán kính ảnh hưởng (blast radius) rộng lớn bất thường khi xảy ra sự cố .

Microsoft đã triển khai các biện pháp kiểm soát bổ sung trong Scout vượt ra ngoài phiên bản OpenClaw gốc. Mỗi tác nhân Scout mang danh tính Entra ID riêng được quản lý với việc thực thi chính sách doanh nghiệp và các hành động nhạy cảm được thiết kế để yêu cầu sự phê duyệt rõ ràng của con người . Một hệ thống tuân thủ chính sách tích hợp liên tục giám sát hành động của Scout và tạo ra các dấu vết kiểm toán .

Nhưng ranh giới thực thi lệnh cốt lõi – cơ chế thực sự thực thi những hành động mà một tác nhân đã được phê duyệt có thể thực hiện – lại bắt nguồn trực tiếp từ việc triển khai danh sách cho phép của OpenClaw. Nếu kẻ tấn công có thể xâm phạm ranh giới đó, thì các lớp quản trị bổ sung sẽ chỉ còn là các biện pháp phòng thủ thứ cấp hơn là sự ngăn chặn thực sự.

Đối với các nhóm an ninh doanh nghiệp đang đánh giá bản xem trước riêng tư của Scout, câu hỏi không phải là liệu sản phẩm có hữu ích hay không – các cuộc thử nghiệm ban đầu cho thấy nó thực sự rất có năng lực. Câu hỏi đặt ra là liệu hồ sơ rủi ro của khung sườn nền tảng đã được tăng cường đủ mức để triển khai một cách có trách nhiệm một tác nhân luôn trực tuyến với quyền truy cập rộng khắp tổ chức hay chưa.

Microsoft trước đây đã rất minh bạch về những hạn chế bảo mật của OpenClaw. Hướng dẫn vào tháng 2 năm 2026 của công ty đã thừa nhận rằng môi trường thực thi này bao gồm các kiểm soát bảo mật tích hợp hạn chế, có thể tiếp nhận văn bản không đáng tin cậy và tải xuống mã thực thi từ các nguồn bên ngoài, và thực hiện các hành động bằng cách sử dụng thông tin xác thực được gán cho nó – dịch chuyển ranh giới thực thi từ mã ứng dụng tĩnh sang nội dung được cung cấp động mà không có các kiểm soát tương đương về danh tính và đặc quyền .

Hiện tại, Scout vẫn đang trong giai đoạn xem trước riêng tư, được kiểm soát sau cánh cửa của chương trình Frontier và đăng ký GitHub Copilot. Điều này cho Microsoft một khoảng thời gian được kiểm soát để giải quyết các mối lo ngại ở cấp độ khung sườn mà các tiết lộ tại Build 2026 đã phơi bày một cách rõ ràng – trước khi tác nhân này tiếp cận được đối tượng doanh nghiệp rộng lớn hơn mà nó rõ ràng được thiết kế để phục vụ.