Auf der BUILD 2026-Konferenz hat Microsoft seinen autonomen KI-Agenten Scout vorgestellt. Der basiert auf OpenClaw und soll im Enterprise-Bereich für autonome Aufgaben eingesetzt werden. Ein wenig unpassend ist der Umstand, dass Sicherheitsforscher kurz vor der Scout-Vorstellung gleich fünf Schwachstellen in OpenClaw gefunden haben. Für eine Schwachstelle gab es eine Sicherheitsempfehlung, die auch von Microsoft in Teams nicht umgesetzt worden war.
Microsoft Scout: Enterprise ready KI-Agent
Im Umfeld der BUILD 2026 hatte Microsoft im Beitrag Introducing Microsoft Scout: Your always-on personal agent vom 2. Juni 2026 seinen KI-Agenten Scout angekündigt. Das Produkt basiert auf OpenClaw. Mit Scout werde eine neue Generation von Agenten vorgestellt, die sogenannten Autopilots, hieß es von Microsoft. Autopiloten seien ständig aktive Agenten, die autonom und mit eigener Identität arbeiten und für die Nutzer in deren Namen handeln.
Autopiloten bleiben im Hintergrund aktiv, verstehen, wie die Arbeit in Apps und Systemen abläuft, und ergreifen Maßnahmen, ohne jedes Mal dazu aufgefordert werden zu müssen, erzählte Microsoft in der Ankündigung. Da die Autopiloten mit einer eigenen Identität arbeiten, können sie Aufgaben im Rahmen der von Benutzern und Organisation festgelegten Berechtigungen und Richtlinien ausführen.
Microsoft Scout sei der ersten Autopilot-Agent, der in die Microsoft 365-Apps integriert wurde, heißt es in der Ankündigung. Das Ganze wurde als "Enterprise ready" und sicher bezeichnet. Ich hatte in meinem Blog-Beitrag Microsofts KI-Assistent Scout – sie können es einfach nicht berichtet und nicht mit harscher Kritik hinter dem Berg gehalten. Hintergrund ist, dass ich OpenClaw, auf Grund der Historie, aus Sicherheitsgründen schlicht für ein Desaster halte. Im Beitrag habe ich den Umstand, dass Microsoft im Februar 2026 noch vor OpenClaw gewarnt hatte, aufgespießt. Ist mir von manchen Lesern etwas übel genommen worden.
OpenClaw: Gleich fünf Schwachstellen bekannt
Und dann kam mir nachfolgender Tweet unter, der besagt, dass in OpenClaw gleich fünf 0-day-Schwachstellen – wohl einige Tage vor der Microsoft-Präsentation – bekannt wurden. Der Tweet greift genau meine Kritikpunkt aus meinem Beitrag zum KI-Assistenten Scout auf.
Der Autor des Tweets zitiert die Microsoft-Aussagen "Microsoft Scout wurde mit Sicherheit und Kontrollmechanismen auf Unternehmensniveau entwickelt, sodass Sie ihm in Ihrem Unternehmen vom ersten Tag an vertrauen können. Er basiert auf der Open-Source-Technologie OpenClaw, was unser Engagement widerspiegelt, gemeinsam mit der Community zu entwickeln und gleichzeitig die Funktionen zu erweitern, um den Anforderungen von Unternehmen gerecht zu werden.", und fragt: Was könnte schon schiefgehen?
Dann verweist der Tweet-Ersteller genüsslich auf den Cyber News-Artikel Researcher easily finds five OpenClaw zero-days just as Microsoft expands its use of platform vom 4. Juni 2026. Die Autoren dieses Artikels empfinden Microsofts Scout-Ankündigung reichlich absurd, da ein Forscher nur wenige Tage zuvor gleich fünf Zero-Day-Schwachstellen in OpenClaw entdeckt habe. Die Schwachstellen ermöglichten es Angreifern, Vertrauensgrenzen zu umgehen und den Zugriff von KI-Agenten auf mehreren Messaging-Plattformen zu kapern.
Laut dem Sicherheitsingenieur Philip Garabandic sind die Schwachstellen auf einen wiederkehrenden Designfehler zurückzuführen, bei dem für Menschen lesbare Identifikatoren, wie beispielsweise Anzeigenamen, während der Initialisierung des Dienstes in feste Benutzer-IDs aufgelöst werden. Philip Garabandic hat die Ergebnisse seiner Analyse in diesem Artikel dokumentiert.
"Je nachdem, wozu der Agent programmiert ist, kann dies das Lesen von Dateien, das Senden von Nachrichten, das Ausführen von Shell-Befehlen oder den Aufruf interner APIs bedeuten. Die Folgen einer Umgehung der Whitelist bei OpenClaw sind nicht, dass ‚ein Angreifer einige Daten offengibt'. Sie bestehen vielmehr darin, dass ‚ein Angreifer Ihren Agenten steuert'.", zitiert Cyber Security News Philip Garabandic.
Das Problem: Die Anzeigenamen sich bei den meisten Chat-Plattformen änderbar. Daher können Angreifer sich als vertrauenswürdige Benutzer ausgeben, indem sie sich einfach so umbenennen, dass sie einer Identität auf der Whitelist entsprechen. Laut Garabandic wurde dieses Problem ursprünglich in der Telegram-Integration von OpenClaw identifiziert und unter der Sicherheitsempfehlung GHSA-mj5r-hh7j-4gxf behoben.
Trotz der Korrektur blieb dieselbe Ursache in fünf weiteren Kanalerweiterungen, Slack, Discord, Matrix, Zalo und Microsoft Teams, bestehen. Und jetzt lassen wir uns ganz langsam die Information "Microsoft bezeichnet das Ganze als Enterprise-grade und ready", kriegt aber nicht mal die Sicherheitsempfehlung GHSA-mj5r-hh7j-4gxf in Microsoft Teams umgesetzt, durch den Kopf gehen? Digitalisierung first mit Microsoft. Bedenken second, was kann schon schief gehen?
PS: Ich habe ja nichts gegen KI, in beherrschbaren Szenarien gezielt eingesetzt (mache ich hier aus partiell, wobei der Aufwand zur Kontrolle of riesig ist). Aber die obige Geschichte ist das, was mich an Microsoft so tierisch aufregt. Deren Intelligenz ist durch KI-Slop auf das Niveau einer Küchenschabe abgesunken. Diese Firma versucht allen und jedem sein KI-Gebräu überzustülpen.
Im Blog-Beitrag Microsofts KI-Assistent Scout – sie können es einfach nicht hatte ich berichtet, dass Journalisten interne Microsoft-Dokumente in die Finger bekamen. Dort war von Scout-Chef Omar Shahine sowie dem Microsoft-Manager Jakob Werner die Strategie ausgegeben worden, dass die Nutzer mit "Scout süchtig gemacht werden sollen". Golem berichtet in diesem Artikel, dass Microsoft Chef, Satya Nadella, den Verfasser des "Abhängigkeits-Memo" nicht kennen will. Noch Fragen?
MVP: 2013 – 2016
