Security

OpenClaw självhostade agenter: icke betrodd kodrisk

3 min läsning

Sammanfattning

Microsoft Defender varnar för att OpenClaw i självhostade miljöer bör behandlas som icke betrodd kodexekvering med varaktig identitet, eftersom plattformen både kan ta in skadliga instruktioner och ladda ned externa skills som i praktiken är tredjepartskod. Det är viktigt eftersom kombinationen av icke betrodda tillägg, externa textindata och persistenta autentiseringsuppgifter kan göra att en komprometterad agent får åtkomst till känsliga data och företagsidentiteter om den körs i fel miljö.

Behöver du hjälp med Security?Prata med en expert

Introduktion: varför detta är viktigt

Självhostade AI-/agentmiljöer landar snabbt i företagens pilotprojekt—men OpenClaws modell flyttar säkerhetsgränsen på sätt som traditionell arbetsstationssäkerhet inte är byggd för. Eftersom den kan ta in icke betrodd text, ladda ned och köra externa skills och arbeta med persistenta autentiseringsuppgifter, rekommenderar Microsoft Defender att behandla OpenClaw som icke betrodd kodexekvering med varaktig identitet. Med andra ord: kör den inte där användarnas autentiseringsuppgifter, tokens och känsliga data finns.

Vad är nytt / viktigaste insikter från Microsoft Defender

OpenClaw vs. Moltbook: separera runtime från instruktionsplattformen

  • OpenClaw (runtime): Körs på din VM/container/arbetsstation och ärver förtroendet för den värden och dess identiteter. Att installera en skill är i praktiken att exekvera tredjepartskod.
  • Moltbook (plattform/identitetslager): En skalbar ström av innehåll och instruktioner. Ett enda skadligt inlägg kan påverka flera agenter om de tar in det enligt ett schema.

Två leveranskedjor konvergerar till en exekveringsloop

Microsoft pekar ut två angriparstyrda indata som tillsammans förstärker risken:

  • Icke betrodd kodleveranskedja: Skills/tillägg som hämtas från internet (till exempel publika register som ClawHub). En ”skill” kan vara renodlad malware.
  • Icke betrodd instruktionsleveranskedja: Externa textindata kan bära indirekt prompt injection som styr verktygsanvändning eller modifierar agentens ”minne” för att bibehålla angriparens avsikt.

Agentens säkerhetsgräns: identitet, exekvering, persistens

Defender beskriver den nya gränsen som:

  • Identitet: Tokens som agenten använder (SaaS APIs, repositories, email, cloud control planes)
  • Exekvering: Verktyg den kan köra (shell, filoperationer, infra-ändringar, meddelanden)
  • Persistens: Mekanismer som överlever mellan körningar (config/state, scheman, tasks)

Påverkan på IT-admins och slutanvändare

  • Arbetsstationer blir osäkra värdar för självhostade agenter: runtime kan hamna nära utvecklarautentiseringsuppgifter, cacheade tokens och känsliga filer.
  • Risken för exponering av autentiseringsuppgifter och data ökar eftersom agenten agerar med det den kan nå—ofta via legitima APIs som smälter in i normal automation.
  • Varaktig kompromettering är plausibel om en angripare kan modifiera agentens state/minne eller konfiguration, vilket skapar återkommande skadligt beteende.

Åtgärder / nästa steg (minsta säkra driftläge)

  1. Kör inte OpenClaw på vanliga användararbetsstationer. Utvärdera endast i en helt isolerad miljö (dedikerad VM, container-värd eller separat fysisk system).
  2. Använd dedikerade, icke-privilegierade autentiseringsuppgifter med strikt avgränsade behörigheter; undvik åtkomst till känsliga datamängder.
  3. Behandla installation av skills som en explicit godkännandehändelse (motsvarande att exekvera tredjepartskod). Upprätthåll en allowlist och kontroller av ursprung/proveniens.
  4. Utgå från att skadlig input kommer att förekomma om agenten bläddrar i externt innehåll; prioritera inneslutning och återställbarhet framför enbart prevention.
  5. Aktivera kontinuerlig övervakning och hunting i linje med Microsoft Security-kontroller (inklusive Microsoft Defender XDR), med fokus på tokenåtkomst, ovanlig API-användning samt ändringar i state/config.
  6. Ha en plan för återuppbyggnad: arbeta som om värden kan behöva frekvent ominstallation/rotation för att ta bort persistens.

Behöver du hjälp med Security?

Våra experter kan hjälpa dig att implementera och optimera dina Microsoft-lösningar.

Prata med en expert

Håll dig uppdaterad om Microsoft-teknologier

Läs originalartikeln av Microsoft Defender Security Research Team
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Relaterade inlägg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.