微软发布Scout：基于零日漏洞频发框架打造的“永不离线”AI同事

微软的官方博客描述了它的核心能力：无需用户明确指令，即可处理会议准备、日程冲突调解、邮件起草和日常任务协调 。随着时间推移，Scout会学习个人的工作模式，从用户反馈中建立持久记忆，并内置了一套策略合规系统，能持续监控其行为并生成审计追踪，以满足企业合规需求 。

每个Scout代理都拥有独立的Microsoft Entra ID身份，这意味着它天然受现有的企业访问策略管控。涉及敏感操作时，系统被设计为必须经过人类审批，这一治理层是微软希望能安抚谨慎的企业安全团队的关键 。

在发布初期的可用性上，它是受限的：Scout目前仅通过微软的Frontier早期体验计划独家提供，并且需要一个GitHub Copilot订阅 。它目前仍处于私有预览阶段，这在微软完善体验的同时，也限制了广泛的使用。

OpenClaw基座：一个备受攻击的框架

Scout的发布之所以格外引人担忧，根源在于它的技术基础。Scout构建在OpenClaw之上，这是一个开源自主代理框架，它在2026年经历了软件安全史上最动荡的时期之一。尽管微软的Work IQ上下文引擎提供了一个额外的推理层，但核心的代理编排是由OpenClaw处理的 。

到Scout发布时，OpenClaw仅在2026年就已经累积了超过138个已记录的CVE漏洞 。该框架遭受了当年最大规模的已确认AI代理供应链攻击，被发现了1184个恶意市场包，并且在全球82个国家有超过13.5万个实例暴露在公共互联网上，其中许多甚至没有设置任何身份验证 。

更令人警醒的是，早在2026年2月，也就是Scout发布的几个月前，微软自家安全博客就发布了一则严厉警告，直言OpenClaw “不适合在标准的个人或企业电脑上运行” 。另一项由卡巴斯基进行的独立审计随后在该框架中发现了512个漏洞，其中8个被归类为严重级别 。

如此高密度和高严重性的漏洞披露，为任何基于它的产品发布都设下了极具挑战性的背景，更不用说一款被定位为可信赖企业同事的“永不离线”代理。

Build 2026大会上披露的五个零日漏洞

在Scout发布前后，研究人员特别披露了OpenClaw中的五个零日漏洞，它们直接破坏其信任边界和许可名单（Allowlist）模型——这正是Scout赖以决定代表用户安全执行命令的底层机制。

最严重的发现是一组被称为**“Claw Chain”** 的四个关联漏洞，分配的CVE编号为CVE-2026-44112、CVE-2026-44113、CVE-2026-44115和CVE-2026-44118。攻击者可以将这些漏洞串联起来，从沙盒代码执行一路升级到主机级别的持久化控制，且全程不触发常规安全警报。该链中最关键的漏洞CVE-2026-44112，CVSS风险评分高达9.6（最高为10），它允许攻击者将文件系统写入操作重定向到OpenClaw沙盒边界之外，从而实现对底层主机的配置篡改和后门安装 。

其他零日漏洞则暴露了OpenClaw在处理“受信任命令”时的弱点：

• CVE-2026-41390揭示，框架的“始终允许”（allow-always）持久化机制，在存储信任决策之前未能正确地“解包”某些系统包装器（如/usr/bin/script）。这意味着攻击者一旦诱骗用户批准一个被包装过的、看似无害的命令，就能持久地绕过未来的所有安全提示并执行任意代码 。
• CVE-2026-29607暴露了一个相似的包装器层面的持久化缺陷：以“始终允许”模式批准一个被包装的system.run命令，可以在包装器层面而非内部命令层面持久化许可名单条目，使得后续能够绕过审批执行完全不同的恶意代码 。
• CVE-2026-3689（注册为ZDI-26-227）是一个影响OpenClaw Canvas的路径遍历漏洞，允许远程攻击者从受影响安装中窃取敏感信息 。
• 除了这些具体的CVE，研究人员还发现了不当的身份解析漏洞，攻击者仅通过在消息平台上将自己的显示名称修改为与受信任用户一致，就能冒充授权用户，劫持AI代理跨服务的访问权限 。

反复出现的模式：许可名单绕过

把这些漏洞串联起来，一个清晰的模式浮现了出来。OpenClaw的安全模型严重依赖一个命令许可名单——一种机制，它会维护一个已批准命令的清单，并在执行任何未识别命令前提示用户。而问题在于，正如研究人员反复证明的那样，许可名单的解析过程一贯地无法正确理解那些被包装、扩展或串联的复杂命令。

多个独立研究团队发现，OpenClaw是在包装器层面而非稳定的内部可执行文件层面持久化了信任决策 。攻击者可以不择手段：在未加引号的heredoc正文中嵌入shell扩展令牌；利用SHELLOPTS或PS4等环境变量注入，在许可名单命令运行前触发命令替换；或是利用解析深度的不匹配，在绕过shell包装器检测的同时，完成许可名单匹配 。

由此产生的实际后果是毁灭性的：一个用户可能会被社会工程学手段诱导，去批准一个看似无害的命令，而这仅仅一次的批准，就会为攻击者授予一个持久的后门，能够毫无阻碍地在主机上执行任意代码，并绕过之后每一次的安全提示。

这为何对Scout的部署至关重要

Scout直接继承了OpenClaw的信任和许可名单架构 。这个代理以“永不离线”的权限在Teams、Outlook和SharePoint内部运行——阅读邮件、管理日历、加入对话并在后台执行操作。安全研究人员和企业团队提出了一个深刻担忧：将这种级别的持久化系统访问权限，与一个被证明存在系统性许可名单绕过漏洞的框架相结合，将创造一个异常广阔的“攻击面” 。

客观来说，微软在Scout中实施了超越原生OpenClaw的额外控制措施。每个Scout代理都拥有一个受治理的Entra ID身份，并受企业策略强制约束，敏感操作被设计为需要明确的人类审批 。一个内置的策略合规系统会持续监控Scout的行动并生成审计追踪 。

但核心的命令执行边界——也就是实际强制“已获批准的代理可以执行哪些操作”的机制——直接追溯至OpenClaw的许可名单实现。如果一个攻击者能够攻破这道边界，那么额外的治理层就变成了次要的防线，而非真正的预防措施。

对于正在评估Scout私有预览版的企业安全团队来说，关键问题不是这款产品是否有用——早期的演示表明它极为强大。真正的问题是：底层框架的风险状况，是否已经得到了充分加固，足以负责任地部署一个拥有广泛组织访问权限的“永不离线”代理？

微软过去对OpenClaw的安全局限性一直保持透明。该公司在2026年2月的指导中承认，该运行时包含的内置安全控制有限，可能摄入不受信任的文本并从外部来源下载和执行代码，并使用分配给它的凭据执行操作——这实际上将执行边界从静态应用程序代码，转移到了动态提供的内容上，而没有引入对等的身份和权限控制 。

眼下，Scout仍处于私有预览阶段，被Frontier计划和GitHub Copilot订阅的门槛所把控。这为微软提供了一个可控的时间窗口，去解决此次Build 2026大会上集中暴露的框架层面的根本问题——赶在这款显然为更广泛企业受众设计的代理真正大规模推出之前。