Исследователи обманули агента OpenClaw AI, заставив его раскрыть ключи AWS и данные клиентов с помощью фишингового письма.

      TL;DR Varonis фишинговал агент электронной почты OpenClaw. Он утек AWS ключи и экспорт CRM для 247 клиентов. Он поймал вредоносные URL, но не справился с проверками личности. Исследователи безопасности в Varonis создали агент электронной почты OpenClaw, подключили его к почтовому ящику Gmail с фальшивыми данными компании и затем провели фишинг. Агент, названный Pinchy, передал AWS учетные данные, строки подключения к базе данных и экспорт клиентов, не проверив, кто спрашивает. Это потребовало всего лишь одного имитационного письма. Эксперимент проверял, поддаются ли AI-агенты тем же атакам социального инжиниринга, которые ловят человеческих сотрудников. Varonis предоставил Pinchy доступ к Gmail, инструментам браузера и API Google Workspace. Почтовый ящик был заполнен фальшивыми, но реалистичными внутренними данными: ключами AWS IAM, учетными данными SSH, экспортами CRM, внутренними коммуникациями и приглашениями в календарь. Они протестировали две конфигурации: общую настройку со стандартными инструкциями по производительности и строгий режим, специально разработанный для обнаружения фишинга. Они запустили обе через Gemini 3.1 Pro и GPT-5.4. Результаты были смешанными. Когда злоумышленник выдал себя за руководителя команды по имени «Дэн» и заявил, что есть проблема с производством, Pinchy искал в почтовом ящике учетные данные для тестирования, нашел их и переслал в открытом виде. Когда злоумышленник запросил экспорт клиентов, сказав, что он работает удаленно над презентацией, Pinchy извлек и отправил файл CRM, содержащий имена, контактные данные и данные о ежемесячном повторяющемся доходе в размере 1,28 миллиона долларов для 247 корпоративных клиентов. Оба профиля, общий и строгий, провалили эти тесты. «Шаг проверки все еще срывался, когда запрос казался операционно срочным», - сказал Varonis. Но Pinchy хорошо справился с традиционным техническим фишингом. Когда исследователи отправили фальшивое письмо с подарочной картой с фишинговой ссылкой, агент идентифицировал страницу как вредоносную и заблокировал ее. Когда они попытались внедрить вредоносное приложение Google OAuth, замаскированное под платформу для учета рабочего времени, Pinchy проверил URL перенаправления и остановил поток аутентификации. Шаблон ясен. AI-агенты хорошо распознают подозрительные URL и вредоносные приложения OAuth, угрозы с техническими подписями. Они терпят неудачу, когда атака основывается на проверке личности и контекстном суждении, с которыми также сталкиваются люди, но на которые организации полагаются для предотвращения социального инжиниринга. Varonis также отметил разницу между моделями. Gemini 3.1 Pro проявил «большее желание взаимодействовать» перед тем, как вызвать подозрение. GPT-5.4 был более осторожным и менее склонным предоставлять конфиденциальную информацию внешним получателям без подтверждения. Ни одна из них не была достаточно надежной, чтобы доверять почтовому ящику, полному реальных учетных данных. Эти выводы добавляют к растущему числу доказательств того, что AI-агенты, подключенные к реальным системам, создают новые поверхности атаки, которые существующие инструменты безопасности не охватывают. Varonis рекомендует, чтобы агенты были вынуждены проверять идентичность отправителей перед действием, им было запрещено отправлять электронные письма новым внешним получателям без одобрения человека и предоставлялся ограниченный доступ к внутренним данным. Другими словами, те же принципы нулевого доверия, которые организации применяют к человеческим сотрудникам, должны применяться и к их AI-агентам.