OpenClaw-ში, Microsoft-ის ახალი Scout აგენტის ბაზაში, ხუთი ნულოვანი დღის დაუცველობა აღმოაჩინეს

Microsoft-მა გაუშვა Scout, OpenClaw-ზე აგებული მუდმივად მოქმედი AI სამუშაო აგენტი

Microsoft-მა სამშაბათს, Build 2026 დეველოპერულ კონფერენციაზე, წარმოადგინა Scout, ახალი AI პერსონალური ასისტენტი, რომელიც აგებულია ღია კოდის OpenClaw ჩარჩოზე. გაშვება დაემთხვა უსაფრთხოების მკვლევრების მიერ OpenClaw-ში ხუთი ნულოვანი დღის დაუცველობის გამოვლენას, რამაც შესაძლოა თავდამსხმელებს საშუალება მისცეს გაიტაცონ AI აგენტის წვდომა შეტყობინებების პლატფორმებზე.

AI კოლეგა, რომელიც არასდროს ითიშება

Scout წარმოადგენს იმას, რასაც Microsoft „ავტოპილოტს“ უწოდებს — მუდმივად მოქმედი ავტონომიური აგენტი საკუთარი მუდმივი იდენტობით, რომელიც მომხმარებლის სახელით მუშაობს Outlook-ში, Teams-ში, OneDrive-სა და Microsoft 365-ის სხვა აპლიკაციებში. ასისტენტს შეუძლია მართოს კალენდრები, გადაჭრას დაგეგმვის კონფლიქტები, შეადგინოს ელ.წერილები, მართოს ხარჯების ანგარიშგება და ავტომატიზაცია გაუკეთოს განმეორებად სამუშაო დავალებებს მოთხოვნის გარეშე.mashable

TechCrunch-ის ცნობით, მომხმარებლები თავად არქმევენ სახელს თავიანთ Scout-ის ინსტანსს და აწვდიან მას მუდმივ უკუკავშირს მისი ქცევის ჩამოსაყალიბებლად. Bloomberg-მა გაავრცელა ინფორმაცია, რომ ჩვეულებრივი AI ჩეთბოტებისგან განსხვავებით, რომლებიც მხოლოდ მომხმარებლისთვისაა ხილული, Scout შიდა ელ.ფოსტისა და კალენდრის სისტემებში გამოჩნდება ისე, თითქოს ის სხვა თანამშრომელი იყოს.techcrunch

Scout ამჟამად ხელმისაწვდომია Microsoft-ის Frontier ადრეული წვდომის პროგრამის საშუალებით, რომელიც ორგანიზაციებს აძლევს შესაძლებლობას პირველებმა ნახონ ექსპერიმენტული AI ფუნქციები Microsoft 365-ში. Scout-ის გამოყენება მოითხოვს აქტიურ GitHub Copilot გამოწერას და იყენებს მომხმარებლის ყოველთვიურ GitHub AI კრედიტებს — გამოყენებაზე დაფუძნებულ გადახდის სისტემას, რომელიც 1 ივნისიდან ამოქმედდა. ამ სისტემის მიხედვით, Copilot Business-ის გამომწერები თვეში იღებენ 19 დოლარის კრედიტს თითო მომხმარებელზე, ხოლო Enterprise-ის გამომწერები — 39 დოლარს.github

OpenClaw-ის უსაფრთხოების პრობლემები აჩრდილავს გაშვებას

Scout-ის გამოშვების დრო ემთხვევა OpenClaw-ის უსაფრთხოების მდგომარეობის მიმართ მზარდ ყურადღებას. 3 ივნისს მკვლევრებმა გამოავლინეს ხუთი ნულოვანი დღის დაუცველობა OpenClaw-ში, რაც თავდამსხმელებს საშუალებას აძლევდა გვერდი აეარათ ნდობის საზღვრებისთვის და გაეტაცათ AI აგენტის წვდომა Slack-ში, Discord-ში, Microsoft Teams-ში, Matrix-სა და Zalo-ში.x

დაუცველობები იყენებენ დიზაინის ხარვეზს, სადაც ადამიანისთვის გასაგები იდენტიფიკატორები, როგორიცაა საჩვენებელი სახელები, სერვისის ინიციალიზაციისას გარდაიქმნება სტაბილურ მომხმარებლის ID-ებად. ვინაიდან საჩვენებელი სახელები ცვალებადია ჩატის პლატფორმების უმეტესობაზე, თავდამსხმელებს შეუძლიათ თავი გაასაღონ სანდო მომხმარებლებად, სერვისის გადატვირთვამდე სახელის შეცვლით, რათა დაემთხვეს დაშვებულ იდენტობას, რითაც სრულ კონტროლს იღებენ აგენტის ურთიერთქმედებებზე.cybersecuritynews

ეს ხარვეზები ემატება 2026 წლის იანვრის ბოლოდან დოკუმენტირებული OpenClaw-ის დაუცველობების მზარდ კატალოგს, მათ შორის ერთ-კლიკიან დისტანციური კოდის შესრულების ბაგს (CVE-2026-25253), წვდომის კონტროლის დარღვევას, რომელიც ადმინისტრატორის უფლებების ხელში ჩაგდების საშუალებას იძლევა (CVE-2026-33579) და ოთხ ჯაჭვურ „ქვიშის ყუთიდან“ გაქცევისა და პრივილეგიების ესკალაციის დაუცველობას, რომლებიც Cyera-მ მაისში გამოავლინა. Palo Alto Networks-მა გააფრთხილა, რომ OpenClaw „არ ინარჩუნებს აღსრულებად ნდობის საზღვრებს არასანდო შეყვანებსა და მაღალი პრივილეგიის მქონე მსჯელობას ან ხელსაწყოების გამოძახებას შორის“.edera

საწარმოო ამბიციები ხვდება ღია კოდის რისკებს

Microsoft-ის გადაწყვეტილება, აეშენებინა Scout OpenClaw-ზე, ასახავს პლატფორმის სწრაფ მიღებას — მას 179 000-ზე მეტი GitHub ვარსკვლავი აქვს — მაგრამ ასევე მემკვიდრეობით იღებს მის თავდასხმის ზედაპირს. Microsoft-მა Scout-ი შეფუთა საწარმოო მმართველობის ფენებით, მათ შორის Entra იდენტობის მართვით, თუმცა ძირითადი ჩარჩოს უსაფრთხოების ისტორია რჩება შეშფოთების საგნად იმ ორგანიზაციებისთვის, რომლებიც მის დანერგვას განიხილავენ.windowsforum