Microsoft Scout：永遠在線的AI同事，為何讓企業資安團隊徹夜難眠？

根據微軟官方部落格的描述，其核心功能涵蓋了會議準備、行程衝突排解、郵件草擬，以及無需明確指令的例行任務協調 。Scout會隨著時間學習個別使用者的工作模式，根據使用者回饋建立持久的記憶，並內建一套「政策符合性系統」，能持續監控其自身行為，並為企業合規需求產出稽核軌跡 。

重要的是，每一個Scout代理都擁有自己專屬的 Microsoft Entra 身份（微軟的雲端身份與存取管理服務）。這意味著，它必須遵循企業現有的存取權限政策。對於一些敏感的操作，設計上仍需要獲得使用者本人的批准，這構成了一道治理層，微軟希望藉此安撫謹慎的企業資安團隊 。

Scout上市初期並未全面開放：它目前僅透過微軟的「Frontier」早鳥體驗計畫提供，而且訂閱者必須擁有 GitHub Copilot 的授權 。換句話說，它仍處於「私人預覽」階段，微軟將在廣泛開放前，利用這段期間持續打磨使用體驗。

OpenClaw基礎：一個飽受攻擊的框架

讓Scout的推出格外引人疑慮的，是它的技術基底。Scout建立在OpenClaw之上，這是一個開源的自主代理框架，但它同時也經歷了近年來軟體史上最動盪的資安年。微軟自家的 Work IQ 脈絡引擎提供了額外的加值，但核心的代理協作，仍由OpenClaw一手包辦 。

在Scout亮相之際，OpenClaw光是在2026年就已累積了超過138件已記錄的CVE漏洞 。它還遭遇了年度最大規模的、已確認的AI代理供應鏈攻擊，被發現有1,184個惡意市集套件，更有超過135,000個執行個體在全球82個國家暴露於公開網路上，其中許多甚至完全沒有設定身分驗證 。

就在Scout發表的數個月前，也就是2026年2月，微軟自家的安全部落格才剛針對OpenClaw發出了一篇措辭嚴厲的警告，直言它「不適合在標準個人或公司機器上運行」 。而另一份由卡巴斯基進行的稽核報告更指出，該框架存在512個漏洞，其中8個被歸類為「嚴重」 。

這些接二連三的揭露，其嚴重性與頻率，為任何產品的發表構成了極具挑戰性的背景，更何況是一個試圖將「永遠在線代理」定位為可信賴企業同事的產品。

Build 2026大會上揭露的五個零日漏洞

就在Scout風光亮相的同一時間，研究人員披露了五個特定的OpenClaw零日漏洞。這些漏洞直接破壞了其信任邊界與白名單模型，而這正是Scout要安全地執行使用者指令時，必須仰賴的同一套機制。

最嚴重的發現，是一個被命名為「Claw Chain」的漏洞鏈，由四個漏洞串聯而成，分別被賦予了 CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, 和 CVE-2026-44118 的編號。攻擊者可以將這些漏洞串接起來，從沙箱程式碼執行，一路升級到在主機端建立持久性後門，全程都不會觸發一般的資安警報 。其中，最關鍵的漏洞 CVE-2026-44112 的CVSS風險評分高達9.6（滿分10分）。它讓攻擊者能夠將檔案系統的寫入路徑，重定向到OpenClaw的沙箱範圍之外，從而在底層主機上篡改設定值，甚至植入後門程式 。

其餘的零日漏洞，則暴露了OpenClaw如何處理「受信任指令」的弱點。

• CVE-2026-41390 揭露了該框架的「永遠允許」持久性機制，在儲存信任決策前，無法正確「解開」像是 /usr/bin/script 這類的系統包裝器。這意味著，攻擊者只要能誘騙使用者批准一個被包裝起來、看似無害的指令，就能永久繞過未來的安全提示，執行任意程式碼 。
• CVE-2026-29607 也暴露了類似包裝器層級的持久性漏洞：一旦使用者對一個被包裝過的 system.run 指令選擇了「永遠允許」，白名單的信任條目就會被保存在「包裝器層級」而非「內部指令層級」。這讓攻擊者可以在日後繞過批准，執行完全不同的、惡意負載 。
• CVE-2026-3689（也註冊為 ZDI-26-227）則是一個存在於OpenClaw Canvas功能中的路徑遍歷漏洞，讓遠端攻擊者能夠從受影響的系統中，竊取敏感資訊 。

除了這些特定的CVE漏洞，研究人員還發現了不當的身份解析缺陷。攻擊者只需在通訊平台上，把自己的顯示名稱改成與白名單內受信任使用者相同的名字，就能冒充該用戶，進而劫持AI代理在多個服務上的存取權限 。

反覆出現的模式：繞過白名單

這些漏洞之間，存在一個清晰可見的模式。OpenClaw的安全模型極度依賴一套「執行白名單」機制——它會維護一份「已核准指令」的清單，並在執行任何無法辨識的指令前，跳出提示詢問使用者。

但問題在於，如同研究人員反覆展示的那樣，這套白名單的解析機制，在面對被包裝、展開或串接的指令時，會持續性地失靈。

多個獨立研究團隊發現，OpenClaw會把信任決策保存在「包裝器層級」，而非穩定的「內部執行檔核心」。攻擊者可以將Shell擴展指令，嵌入到未引用內容的文件中；或利用 SHELLOPTS、PS4 等環境變數注入，在被允許的指令執行「前」，就先觸發指令替換；又或者利用包裝器深度解析的錯配問題，在壓制Shell包裝器偵測的同時，卻仍然滿足白名單解析的條件 。

這在實務上會導致一個災難性的後果：使用者可能因遭受社交工程攻擊，而批准了一個看似無害的指令。而僅僅這「一次」批准，就能賦予攻擊者一個永久的後門，讓他們得以在主機上執行任意程式碼，並繞過往後每一次的安全提示。

這對採用Scout的企業為何至關重要

Scout直接繼承了 OpenClaw 的信任與白名單架構 。這個代理以永遠在線的模式，在Teams、Outlook和SharePoint中擁有存取權限——它能讀取郵件、管理行事曆、加入對話，並在背景執行動作。資安研究人員和企業團隊已經提出疑慮：將這種層級的系統存取權限，與一個已展現出系統性白名單繞過漏洞的框架結合，將創造出一個異乎尋常的廣大攻擊面 。

微軟的確在Scout中，加入了超越陽春版OpenClaw的額外控制措施。如前所述，每個Scout代理都擁有受治理的Entra身份，並伴隨著企業政策的強制執行，敏感操作也設計為需要取得明確的人為批准 。加上內建的政策符合性系統，會持續監控並產出稽核軌跡 。

然而，核心的「指令執行邊界」——也就是那個真正用來約束「一個已獲授權的代理，究竟能做哪些事」的執行機制——仍舊直接追溯至OpenClaw的白名單實作。一旦攻擊者能夠突破這道邊界，其餘的治理層就將淪為次級防線，無法做到真正的事前預防。

對於正在評估Scout私人預覽版的企業資安團隊來說，核心問題不在於這個產品「好不好用」。從早期的展示來看，它的能力確實相當出色。真正的問題在於：底層框架的風險樣貌，是否已經被充分強化到足以負責地部署一個擁有廣泛組織存取權限、且永遠在線的AI代理？

微軟過去對於OpenClaw的安全限制，其實相當坦誠。早在2026年2月的官方指引中，該公司便承認，該執行環境僅內建了有限的安全控制，它可能接收未受信任的文字、從外部來源下載並執行代碼，並使用被賦予的憑證來執行動作——這實質上將執行邊界，從靜態的應用程式碼，轉移到了動態提供的內容上，卻沒有同等級別的身份與權限控管措施 。

就目前而言，Scout仍處於私人預覽階段，被Frontier計畫與GitHub Copilot訂閱的雙重門檻所限制。這給了微軟一段可控的緩衝期，好在Scout觸及它顯然是為其設計的更廣泛企業受眾之前，正面解決Build 2026大會上被尖銳凸顯的框架層級問題。