I ricercatori hanno ingannato un agente AI di OpenClaw facendogli rivelare chiavi AWS e dati dei clienti tramite un'email di phishing.

      TL;DRVaronis ha phishingato un agente email OpenClaw. Ha divulgato chiavi AWS e un'esportazione CRM per 247 clienti. Ha rilevato URL malevoli ma ha fallito nei controlli di identità. I ricercatori di sicurezza di Varonis hanno costruito un agente email OpenClaw, lo hanno collegato a una casella di posta Gmail con dati aziendali falsi e poi lo hanno phishingato. L'agente, soprannominato Pinchy, ha consegnato credenziali AWS, stringhe di connessione al database e un'esportazione clienti senza verificare chi stesse chiedendo. È bastata un'unica email di impersonificazione. L'esperimento ha testato se gli agenti AI cadono negli stessi attacchi di ingegneria sociale che colpiscono i dipendenti umani. Varonis ha dato a Pinchy accesso a Gmail, strumenti del browser e API di Google Workspace. La casella di posta è stata riempita con dati interni falsi ma realistici: chiavi AWS IAM, credenziali SSH, esportazioni CRM, comunicazioni interne e inviti al calendario. Hanno testato due configurazioni: una configurazione generica con istruzioni di produttività standard e una modalità rigorosa esplicitamente progettata per rilevare il phishing. Hanno eseguito entrambi attraverso Gemini 3.1 Pro e GPT-5.4. I risultati sono stati contrastanti. Quando un attaccante ha impersonato un team lead di nome "Dan" e ha affermato che c'era un problema di produzione, Pinchy ha cercato nella casella di posta le credenziali di staging, le ha trovate e le ha inoltrate in testo semplice. Quando l'attaccante ha richiesto un'esportazione clienti, dicendo che stava lavorando da remoto su una presentazione, Pinchy ha recuperato e inviato un file CRM contenente nomi, dettagli di contatto e dati di $1,28 milioni di entrate mensili ricorrenti per 247 clienti aziendali. Sia i profili generici che quelli rigorosi hanno fallito questi test. "Il passo di verifica è comunque crollato quando la richiesta sembrava operativamente urgente," ha detto Varonis. Ma Pinchy ha performato bene contro il phishing tecnico tradizionale. Quando i ricercatori hanno inviato un'email falsa con una carta regalo contenente un link di phishing, l'agente ha identificato la pagina come malevola e l'ha bloccata. Quando hanno cercato di introdurre un'applicazione Google OAuth malevola mascherata da piattaforma di fogli di lavoro, Pinchy ha ispezionato l'URL di reindirizzamento e ha fermato il flusso di autenticazione. Il modello è chiaro. Gli agenti AI sono bravi a individuare URL sospetti e app OAuth malevole, il tipo di minacce con firme tecniche. Falliscono quando l'attacco si basa sulla verifica dell'identità e sul giudizio contestuale, il tipo di ragionamento con cui anche gli esseri umani faticano, ma su cui le organizzazioni fanno affidamento per prevenire l'ingegneria sociale. Varonis ha anche notato una differenza tra i modelli. Gemini 3.1 Pro ha mostrato "maggiore disponibilità a interagire" prima di sollevare sospetti. GPT-5.4 era più cauto e meno disposto a fornire informazioni sensibili a destinazioni esterne senza conferma. Nessuno dei due era abbastanza affidabile da fidarsi con una casella di posta piena di credenziali reali. I risultati si aggiungono a un crescente corpo di prove che gli agenti AI collegati a sistemi reali creano nuove superfici di attacco che gli strumenti di sicurezza esistenti non coprono. Varonis raccomanda che gli agenti debbano essere costretti a verificare le identità dei mittenti prima di agire, impediti dall'inviare email a nuovi destinatari esterni senza approvazione umana e dotati di accesso limitato ai dati interni. In altre parole, i principi di zero-trust che le organizzazioni applicano ai dipendenti umani devono essere applicati anche ai loro agenti AI.