Microsoft Scout 登場：長開不熄嘅 AI 同事，背後竟然係零日漏洞嘅溫床？

根據微軟官方網誌嘅講法，Scout 嘅核心能力包括處理會議準備、日程衝突、起草電郵、同埋協調日常例行任務，全程唔使用戶落指令 。Scout 會隨住時間學習你嘅工作模式，根據你嘅反饋建立持久記憶，仲內置咗一套政策合規系統，會持續監察佢自己做過嘅嘢，並且生成審計追蹤記錄，方便企業做合規管理 。

每個 Scout 代理都會帶住自己嘅 Microsoft Entra 身份嚟運作，意思即係佢受到現有嘅公司存取權限政策規範。一啲敏感嘅動作，系統設計上係需要真人核准先可以執行嘅，微軟就係希望透過呢層管治機制，令到對安全好小心嘅企業 IT 團隊可以放心啲 。

至於點樣先用得？Scout 嘅初始開放範圍好有限：只會透過微軟嘅 Frontier 早期採用者計劃提供，而且仲要用戶有訂閱 GitHub Copilot 先得 。暫時佢仲係處於私人預覽階段，等微軟喺正式開放畀大眾之前，有機會再微調吓使用體驗。

危機四伏嘅基礎：OpenClaw 框架

令到 Scout 今次推出得咁唔安樂嘅關鍵，在於佢嘅技術基礎。Scout 係建基於 OpenClaw 之上，呢個係一個開源嘅自主代理框架，而佢喺 2026 年經歷咗近年軟件史上其中一個最多風浪嘅安全年份。雖然微軟仲加咗個叫 Work IQ 嘅上下文引擎喺面頭，但負責核心代理編排嘅，始終都係 OpenClaw 。

到 Scout 亮相嗰陣，OpenClaw 單係喺 2026 年就已經累積咗超過 138 個記錄在案嘅 CVE（常見漏洞與暴露）。呢個框架遭受咗今年最大規模嘅 AI 代理供應鏈攻擊，有成 1,184 個惡意嘅市集套件被人發現，同時間，全球 82 個國家有超過 135,000 個 OpenClaw 實例，就咁曝露喺公共互聯網上，好多仲要連基本嘅身份驗證都冇設定到 。

早喺 2026 年 2 月，即係 Scout 發布前幾個月，微軟自己嘅安全網誌就已經發出咗好嚴厲嘅警告，直截了當咁話 OpenClaw「唔適合喺普通嘅個人或公司電腦上面運行」。另外，卡巴斯基一份獨立嘅審計報告，亦都喺呢個框架入面搵到 512 個漏洞，其中 8 個被評定為嚴重級別 。

呢啲咁嚴重同頻密嘅安全漏洞曝光，對於任何一款產品發布，尤其係一款要將自己定位做「值得信賴嘅企業同事」嘅 AI 代理嚟講，個局面都係極之唔理想。

Build 2026 上爆出嘅五個零日漏洞

差唔多喺 Scout 亮相嘅同一時間，研究人員就披露咗 OpenClaw 入面五個特定嘅零日漏洞。呢啲漏洞直接衝擊咗 OpenClaw 嘅信任邊界同白名單模型——而呢個正正係 Scout 必須依賴，嚟決定做某個動作安唔安全嘅核心機制。

當中最嚴重嘅，係一個被稱為「Claw Chain」、由四個漏洞串聯而成嘅攻擊鏈，對應嘅 CVE 編號係 CVE-2026-44112、CVE-2026-44113、CVE-2026-44115 同 CVE-2026-44118。攻擊者可以將呢幾個漏洞串埋一齊，由沙箱入面執行代碼開始，一路進展到喺主機層級建立持久控制，全程唔會觸發常規嘅安全警報 。呢條鏈入面最關鍵嗰個漏洞 CVE-2026-44112，佢嘅 CVSS 風險評分高達 9.6 分（屬於嚴重級別），可以俾攻擊者將文件系統嘅寫入操作，重新導向到 OpenClaw 沙箱範圍之外，意味住黑客可以篡改系統配置，或者喺底層主機安裝後門程式 。

其他嘅零日漏洞，亦都暴露咗 OpenClaw 喺處理「已信任」指令方面嘅弱點。例如 CVE-2026-41390 就揭示咗，框架嘅「永久允許」呢個記憶機制，喺儲存信任決策之前，係唔會識得拆解好似 /usr/bin/script 呢類系統包裝器嘅。即係話，如果有個攻擊者能夠說服用戶，批准一個睇落無害、但經過包裝嘅指令，佢就可以永久繞過之後所有嘅安全提示，隨心所欲咁執行任意代碼 。CVE-2026-29607 都暴露咗類似嘅漏洞：只要批准一個經過包裝嘅 system.run 指令，並且揀咗「永久允許」，個系統就會記住個包裝器層級嘅白名單，而唔係記住入面實際執行嘅指令。咁樣，攻擊者日後就可以繞過批核，執行完全唔同而且惡意嘅指令 。

仲有 CVE-2026-3689（零日計劃編號 ZDI-26-227），係 OpenClaw Canvas 功能嘅路徑遍歷漏洞，可以俾遠端攻擊者喺受影響嘅裝置上，披露敏感資訊 。除咗呢幾個特定 CVE，研究人員仲發現咗不當嘅身份解析漏洞，攻擊者只要喺通訊平台上，將自己個顯示名稱改到同白名單上面嘅受信任用戶一模一樣，就可以冒充對方，騎劫 AI 代理喺多個服務嘅存取權限 。

死穴：反覆出現嘅白名單繞過模式

呢批漏洞有一個好清晰嘅共通點。OpenClaw 嘅安全模型，好大程度上係依賴一個叫「執行白名單」嘅機制——即係維護一個已批准指令嘅列表，任何未被識別嘅指令想要執行之前，都會先彈出提示問準用戶。但問題係，研究人員一次又一次咁證明，呢個白名單解析機制，係會持續咁認唔出嗰啲被包裝過、展開咗、或者串聯咗嘅指令。

多個獨立嘅研究團隊都發現，OpenClaw 係喺個包裝器層級，而唔係喺最底層嗰個穩定嘅執行檔層級，嚟記住信任決策 。攻擊者可以喺冇引號嘅 heredoc 主體入面，嵌入 Shell 展開代碼；又或者利用 SHELLOPTS 或 PS4 呢啲環境變數注入惡意指令，令到系統喺執行白名單上嘅指令之前，就先觸發惡意代碼 。又或者利用包裝器深度解析嘅錯誤配對，壓抑 Shell 包裝器嘅偵測，但同時又可以通過白名單解析 。

喺實際層面，呢啲漏洞造成嘅後果係毀滅性嘅：一個用戶可能俾人用社會工程學嘅手法，呃佢批准一個睇落無傷大雅嘅指令，然後呢個一次嘅批准，就會俾攻擊者開咗一道持久嘅後門，可以喺主機上面執行任意代碼，從此之後，每一個安全提示都再攔佢唔到。

點解呢件事對打算用 Scout 嘅企業咁重要？

Scout 係直接繼承咗 OpenClaw 呢套「信任與白名單」架構 。呢個代理係以一個長開唔熄嘅狀態，喺 Teams、Outlook 同 SharePoint 入面運作——睇電郵、管理日曆、參與對話、喺背景執行各種動作。安全研究人員同企業團隊都提出咗一個好合理嘅擔憂：將呢種層級嘅持續系統存取權限，同一個被證明有系統性白名單繞過漏洞嘅框架結合埋一齊，會產生一個大得好唔尋常嘅「爆炸半徑」，即係一出事，受影響嘅範圍會好廣 。

當然，微軟喺 Scout 身上，係有實施咗一啲超出原裝 OpenClaw 範圍嘅額外安全控制。每個 Scout 代理，都帶住自己受管治嘅 Entra 身份，可以執行企業政策，而且敏感動作嘅設計係需要真人明確批准嘅 。仲有嗰個內置嘅政策合規系統，會持續監察 Scout 嘅行為，生成審計追蹤 。

但核心嗰個決定「一個獲批嘅代理，可以執行邊啲動作」嘅指令執行邊界，佢嘅機制係直接源自 OpenClaw 嘅白名單實作。如果攻擊者能夠攻破呢個邊界，咁之後嗰啲額外嘅管治層，就只會變成輔助防禦，而唔係真正嘅預防措施。

對於正在評估 Scout 私人預覽版嘅企業安全團隊嚟講，個問題已經唔係「呢個產品好唔好用」——早期嘅演示表明，佢嘅能力係好強。真正嘅問題係，到底底層框架嘅風險狀況，係咪已經被強化到一個地步，可以負責任咁去部署一個擁有廣泛公司系統存取權、而且長開唔熄嘅 AI 代理？

微軟過去對 OpenClaw 嘅安全限制，其實都算係透明嘅。公司喺 2026 年 2 月嘅安全指引入面，已經承認咗呢個執行環境，內置嘅安全控制好有限，佢可以接收唔信任嘅文字內容，同埋由外部來源下載同執行代碼，仲會用分配俾佢嘅憑證去執行操作。講白啲，呢個設計本身就將執行邊界，由靜態嘅應用程式碼，轉移到咗冇同等身份同權限控制嘅動態內容上面，風險係轉嫁咗出去 。

暫時嚟講，Scout 仲係處於私人預覽階段，俾 Frontier 計劃嘅成員同 GitHub Copilot 訂閱用戶試用緊。呢個安排，變相俾咗微軟一個受控制嘅窗口期，要喺 Scout 開放俾更廣泛嘅企業用戶之前，處理好 Build 2026 大會上被擺上檯嘅框架層級安全問題——畢竟呢個市場，先係 Scout 真正嘅目標。