Security

Microsoft Defender: OpenClaw self-hosted agenter

3 min læsning

Resumé

Microsoft Defender advarer om, at OpenClaw self-hosted agenter bør behandles som ikke-betroet kode med vedvarende identitet, fordi de både kan indlæse ondsindede instruktioner og hente/eksekvere tredjeparts-skills fra internettet. Det er vigtigt, fordi denne kombination udvider angrebsfladen markant og kan bringe legitimationsoplysninger, tokens og følsomme virksomhedsdata i fare, hvis OpenClaw køres på almindelige arbejdsstationer eller andre betroede miljøer.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor det betyder noget

Self-hosted AI/agent-runtimes lander hurtigt i enterprise-pilots—men OpenClaws model ændrer sikkerhedsgrænsen på måder, som traditionel workstation-sikkerhed ikke er designet til. Fordi den kan indlæse ikke-betroet tekst, downloade og eksekvere eksterne skills og arbejde med vedvarende legitimationsoplysninger, anbefaler Microsoft Defender at behandle OpenClaw som ikke-betroet kodeeksekvering med varig identitet. Med andre ord: kør den ikke der, hvor dine brugeres legitimationsoplysninger, tokens og følsomme data bor.

Hvad er nyt / vigtigste pointer fra Microsoft Defender

OpenClaw vs. Moltbook: adskil runtime fra instruktionsplatformen

  • OpenClaw (runtime): Kører på din VM/container/workstation og arver tilliden fra den host og dens identiteter. Installation af en skill svarer reelt til at eksekvere tredjepartskode.
  • Moltbook (platform/identity layer): En skalerbar content- og instruction-stream. Et enkelt ondsindet indlæg kan påvirke flere agenter, hvis de indlæser det efter en tidsplan.

To supply chains konvergerer i én eksekveringssløjfe

Microsoft peger på to angriberstyrede input, der forstærker risikoen:

  • Ikke-betroet code supply chain: Skills/extensions hentet fra internettet (for eksempel offentlige registries som ClawHub). En “skill” kan være regulær malware.
  • Ikke-betroet instruction supply chain: Eksterne tekstinput kan indeholde indirekte prompt injection, der styrer tool-brug eller ændrer agentens “memory” for at fastholde angriberens hensigt.

Agentens sikkerhedsgrænse: identity, execution, persistence

Defender beskriver den nye grænse som:

  • Identity: Tokens agenten bruger (SaaS APIs, repositories, email, cloud control planes)
  • Execution: Tools den kan køre (shell, filoperationer, infra-ændringer, messaging)
  • Persistence: Mekanismer, der overlever på tværs af kørsel (config/state, schedules, tasks)

Konsekvenser for IT-admins og slutbrugere

  • Workstations bliver usikre hosts for self-hosted agenter: runtime kan ligge tæt på developer-credentials, cached tokens og følsomme filer.
  • Risikoen for eksponering af legitimationsoplysninger og data stiger, fordi agenten handler med alt det, den kan tilgå—ofte via legitime APIs, der falder ind i normal automation.
  • Varigt kompromis er plausibelt, hvis en angriber kan ændre agentens state/memory eller konfiguration, hvilket giver tilbagevendende ondsindet adfærd.

Handlingspunkter / næste skridt (minimum safe operating posture)

  1. Kør ikke OpenClaw på standard bruger-workstations. Evaluer kun i et fuldt isoleret miljø (dedikeret VM, container host eller separat fysisk system).
  2. Brug dedikerede, ikke-privilegerede legitimationsoplysninger med stramt afgrænsede tilladelser; undgå adgang til følsomme datasæt.
  3. Behandl installation af skills som en eksplicit godkendelsesbegivenhed (svarende til at eksekvere tredjepartskode). Vedligehold en allowlist og provenance checks.
  4. Antag, at ondsindet input vil forekomme, hvis agenten browser eksternt indhold; prioritér containment og recoverability frem for kun prevention.
  5. Aktivér kontinuerlig monitoring og hunting tilpasset Microsoft Security controls (inklusive Microsoft Defender XDR) med fokus på token-adgang, usædvanligt API-forbrug og state/config-ændringer.
  6. Hav en rebuild-plan: operér, som om hosten kan have behov for hyppig re-imaging/rotation for at fjerne persistence.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.