Security

Microsoft Defender: Sikre OpenClaw self-hosted agenter

3 min lesing

Sammendrag

Microsoft Defender advarer om at self-hosted OpenClaw-agenter bør behandles som ikke-klarert kodekjøring med varig identitet, fordi de kan hente inn ondsinnede skills, ta inn utrygge tekstinstruksjoner og operere med lagrede legitimasjoner. Dette er viktig fordi risikoen flytter seg fra tradisjonell arbeidsstasjonssikkerhet til en kombinasjon av kode- og instruksjonsforsyningskjeder, noe som gjør isolasjon, minst mulige privilegier og streng kontroll av identiteter avgjørende i enterprise-miljøer.

Trenger du hjelp med Security?Snakk med en ekspert

Introduksjon: hvorfor dette betyr noe

Self-hosted AI/agent-runtime-miljøer kommer raskt inn i enterprise-piloter—men OpenClaw-modellen endrer sikkerhetsgrensen på måter tradisjonell arbeidsstasjonssikkerhet ikke er designet for. Fordi den kan ta inn ikke-klarert tekst, laste ned og kjøre eksterne skills, og operere med vedvarende legitimasjoner, anbefaler Microsoft Defender å behandle OpenClaw som ikke-klarert kodekjøring med varig identitet. Med andre ord: ikke kjør den der brukernes legitimasjoner, tokens og sensitive data befinner seg.

Hva er nytt / viktige hovedpunkter fra Microsoft Defender

OpenClaw vs. Moltbook: skill runtime fra instruksjonsplattformen

  • OpenClaw (runtime): Kjører på din VM/container/arbeidsstasjon og arver tilliten til denne verten og dens identiteter. Å installere en skill er i praksis å kjøre tredjepartskode.
  • Moltbook (plattform/identitetslag): En skalerbar strøm av innhold og instruksjoner. Ett enkelt ondsinnet innlegg kan påvirke flere agenter hvis de tar det inn etter en tidsplan.

To forsyningskjeder konvergerer i én kjøringssløyfe

Microsoft peker på to angriper-kontrollerte inputkilder som forsterker risiko:

  • Ikke-klarert kode-forsyningskjede: Skills/utvidelser hentet fra internett (for eksempel offentlige registre som ClawHub). En «skill» kan være ren malware.
  • Ikke-klarert instruksjons-forsyningskjede: Eksterne tekstinput kan inneholde indirekte prompt injection som styrer verktøybruk eller endrer agentens «memory» for å vedvare angriperens hensikt.

Agentens sikkerhetsgrense: identitet, kjøring, persistens

Defender beskriver den nye grensen som:

  • Identitet: Tokens agenten bruker (SaaS API-er, repositorier, e-post, cloud control planes)
  • Kjøring: Verktøy den kan kjøre (shell, filoperasjoner, infra-endringer, meldinger)
  • Persistens: Mekanismer som overlever på tvers av kjøringer (config/state, tidsplaner, oppgaver)

Konsekvenser for IT-administratorer og sluttbrukere

  • Arbeidsstasjoner blir utrygge verter for self-hosted agenter: runtime-miljøet kan ligge tett på utviklerlegitimasjoner, mellomlagrede tokens og sensitive filer.
  • Risikoen for eksponering av legitimasjoner og data øker fordi agenten handler med det den har tilgang til—ofte via legitime API-er som glir inn i normal automatisering.
  • Varig kompromittering er plausibel hvis en angriper kan endre agentens state/memory eller konfigurasjon, og dermed forårsake tilbakevendende ondsinnet atferd.

Tiltak / neste steg (minimum trygg driftsprofil)

  1. Ikke kjør OpenClaw på standard brukerarbeidsstasjoner. Evaluer kun i et fullt isolert miljø (dedikert VM, container-vert eller separat fysisk system).
  2. Bruk dedikerte, ikke-privilegerte legitimasjoner med stramt avgrensede rettigheter; unngå tilgang til sensitive datasett.
  3. Behandle installasjon av skills som en eksplisitt godkjenningshendelse (tilsvarende å kjøre tredjepartskode). Oppretthold en allowlist og provenance-kontroller.
  4. Anta at ondsinnet input vil forekomme hvis agenten surfer eksternt innhold; prioriter innesperring og gjenopprettbarhet fremfor bare forebygging.
  5. Aktiver kontinuerlig overvåking og hunting i tråd med Microsoft Security-kontroller (inkludert Microsoft Defender XDR), med fokus på token-tilgang, uvanlig API-bruk og endringer i state/config.
  6. Ha en rebuild-plan: drift som om verten kan trenge hyppig re-imaging/rotasjon for å fjerne persistens.

Trenger du hjelp med Security?

Våre eksperter kan hjelpe deg med å implementere og optimalisere dine Microsoft-løsninger.

Snakk med en ekspert

Hold deg oppdatert om Microsoft-teknologier

Les originalartikkelen av Microsoft Defender Security Research Team
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Relaterte innlegg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.