A Microsoft új AI-munkatársa: öt kiskapu az irodádba

A Microsoft kedden, a Build 2026 fejlesztői konferencián büszkén bemutatta legújabb mesterséges intelligencia alapú személyi asszisztensét, a Scoutot – egy olyan digitális „munkatársat", amely soha nem megy haza, soha nem kér fizetésemelést, és saját nevén fut a céges levelezőrendszerben. Mindezt pontosan ugyanazon a napon, amikor biztonsági kutatók öt kritikus biztonsági rést találtak abban a keretrendszerben, amelyre az egész rendszer épül. Mert miért ne?

A Scout lényege, amit a Microsoft „Autopilot"-nak nevez, az állandó jelenlét. Nem egy egyszerű chatbotról van szó, amelyet megkérdezel valamit, majd bezárod – a Scout folyamatosan aktív, autonóm ügynök, amely a felhasználó nevében tevékenykedik az Outlookban, a Teamsben, a OneDrive-ban és más Microsoft 365-alkalmazásokban. Kezeli a naptárat, feloldja az ütköző időpontokat, e-maileket fogalmaz, költségjelentéseket intéz, és automatizálja az ismétlődő munkahelyi feladatokat – mindezt felszólítás nélkül. Ez eddig hangzik jól. Most jön a csavar.

A Bloomberg szerint a hagyományos AI-csevegőrobotokkal ellentétben – amelyek csak a felhasználó számára láthatók – a Scout a belső e-mail- és naptárrendszerekben úgy jelenik meg, mintha egy valódi munkatárs lenne. A felhasználók saját maguk nevezik el a saját Scout-példányukat, és folyamatos visszajelzésekkel alakíthatják annak viselkedését. Szóval van egy névre szóló, autonóm digitális entitásod, aki hozzáfér mindenhez, és munkatársként viselkedik. Kellemes. A Scout jelenleg a Microsoft Frontier korai hozzáférési programján keresztül érhető el – ez azt jelenti, hogy a szervezetek elsőként próbálhatják ki a kísérleti funkciókat, vagyis ők az önkéntes kísérleti alanyok. A használathoz aktív GitHub Copilot-előfizetés szükséges, amely a felhasználók havi GitHub AI-kreditkeretéből von le. Ez egy fogyasztásalapú számlázási rendszer, amely június 1-jén lépett életbe: a Copilot Business-előfizetők felhasználónként havi 19 dollár értékű kreditet kapnak, a vállalati előfizetők 39 dollárt.

Az alap, amelyre az egészet építették – és amely már most recseg

A Scout szíve egy OpenClaw nevű nyílt forráskódú keretrendszer – ez az a technológiai alap, amelyre a Microsoft az egész rendszert építette. Az OpenClaw népszerűségét jól mutatja, hogy már több mint 179 000 GitHub-csillagot gyűjtött össze, ami a fejlesztői közösségben óriási szám. A népszerűség azonban nem egyenlő a biztonsággal – ezt most fájdalmasan meg is tapasztalhatjuk. Június 3-án, tehát a Scout bejelentésének előestéjén, biztonsági kutatók öt nulladik napi sebezhetőséget tártak fel az OpenClaw-ban. A „nulladik napi" kifejezés laikusok számára annyit jelent: olyan biztonsági rés, amelyre még nincs javítás – a gyártónak nulla napja volt felkészülni, mert a rést a nyilvánosságra hozatallal egy időben, vagy azt megelőzően már kihasználhatják rosszindulatú szereplők.

Hogyan működik a támadás?  Egyszerűen! A sebezhetőségek lényege egy tervezési hiba, amelyet laikusan így lehet leírni: az OpenClaw a felhasználókat a megjelenítési nevük alapján azonosítja – vagyis aszerint, ahogy a nevük megjelenik a csevegőfelületen. A probléma az, hogy a legtöbb platformon ez a megjelenítési név bármikor megváltoztatható. Ha egy támadó átveszi egy megbízható felhasználó nevét egy újraindítás előtt, az AI-ügynök azt fogja hinni, hogy az a megbízható személy adja ki az utasításokat – és engedelmeskedik. Teljes irányítás, egyszerű névcsere árán. Ez a hiba lehetővé teszi, hogy támadók átvegyék az AI-ügynök hozzáféréseit a Slack, Discord, Microsoft Teams, Matrix és Zalo platformokon. Vagyis pontosan azokon a munkahelyi kommunikációs felületeken, amelyeken a Scout is működik.

Ami igazán aggasztó, az nem ez az öt friss sebezhetőség önmagában. Az OpenClaw 2026 januárjától folyamatosan gyűjti a kritikus biztonsági hibákat, mint egy különösen gondatlan bélyeggyűjtő. A dokumentált esetek között szerepel egy egykattintásos távoli kódfuttatási hiba – CVE-2026-25253 –, amely azt jelenti, hogy egyetlen kattintással idegen kód futtatható az áldozat rendszerén; egy törött hozzáférés-vezérlési sérülékenység – CVE-2026-33579 –, amely teljes rendszergazdai átvételt tesz lehetővé; valamint négy egymásra láncolható homokozó-menekülési és jogosultságnövelési sebezhetőség, amelyeket a Cyera tárt fel még májusban. A Palo Alto Networks szakértői egyértelműen fogalmaztak: az OpenClaw „nem tart fenn kikényszeríthető bizalmi határokat a nem megbízható bemenetek, valamint a magas jogosultságú műveletek között". Fordítva: az OpenClaw nem tudja megbízhatóan megkülönböztetni a legitim utasításokat a rosszindulatúaktól.

A Microsoft döntése, hogy az OpenClaw platformra építi a Scoutot, elsőre logikusnak tűnik: a projekt hatalmas, aktív fejlesztői közösséggel rendelkezik, és gyorsan fejlődik. A Microsoft vállalati szintű biztonsági rétegekkel vette körbe a Scoutot – köztük az Entra identitáskezelési rendszerrel –, és ezek valóban hozzáadnak egy védelmi réteget. A kérdés azonban az, hogy ez elegendő-e, ha maga az alaprendszer strukturálisan hibás. Egy céges AI-ügynök, amely hozzáfér az e-mailekhez, a naptárhoz, a dokumentumokhoz, és munkatársként viselkedik a szervezeten belül, pontosan az a fajta célpont, amelyért egy állami hírszerzés – mondjuk egy olyan, amely LinkedIn-en is aktívan toboroz – szívesen megdolgozna. Az infrastruktúra készen áll. Az ajtókon rajta vannak a zárak. Az ablakokat viszont még zárják. A szervezeteknek, amelyek a Scout bevezetésén gondolkodnak, érdemes feltenni maguknak egy egyszerű kérdést: megbíznak-e egy olyan alaprendszerben, amely öt hónap alatt ennyi kritikus sebezhetőséget halmozott fel – és amelynek legújabb hibáira még nincs javítás?

FORRÁS: MaShable