Космический объект с голографическим изображением ракообразного. ИИ-агент OpenClaw
Автор:

Исследователи Varonis проверили, как почтовый ИИ-агент OpenClaw ведёт себя в типичных сценариях корпоративного фишинга, и получили неприятный для разработчиков результат. Агент по имени Pinchy уверенно блокировал вредоносные ссылки и подозрительные OAuth-приложения, но провалился там, где нужно было оценивать личность отправителя и рабочий контекст. Иными словами, с URL у него лучше, чем с людьми.

В тесте Varonis агент подключили к Gmail, браузеру и API Google Workspace, а затем загрузили в учётную запись набор корпоративных данных вымышленной компании. В среде были письма, файлы, выгрузки CRM, учётные данные AWS и приглашения в календаре. После этого Pinchy поручили разбирать входящую почту в двух режимах: с обычными рабочими инструкциями и с жёсткими предупреждениями о фишинге и мошенничестве.

Даже в более строгой конфигурации агент выдал доступ к тестовой среде человеку, который представился руководителем отдела, и отправил экспорт клиентских данных по запросу якобы коллеги, работавшего удалённо над презентацией. Зато классическое письмо с подарочной картой и ссылкой система распознала как вредоносное и заблокировала. Не сработала и попытка подсунуть агенту фальшивое приложение для Google OAuth под видом сервиса учёта рабочего времени.

Вывод Varonis сводится к разнице между двумя типами атак. Технические индикаторы, вроде подозрительного домена или сомнительного приложения, ИИ видит сравнительно хорошо. Социальная инженерия, где нужно сопоставить должность, ситуацию, внутренние процессы и полномочия отправителя, остаётся слабым местом. В компании отдельно отметили, что Gemini продемонстрировал более высокую готовность вступать во взаимодействие, тогда как модели OpenAI в аналогичных сценариях были осторожнее.

Проблема выходит за рамки одного теста. OpenAI в сервисах для агентной автоматизации уже добавляла обязательные подтверждения для чувствительных действий, а Anthropic при запуске Computer Use предупреждала, что таким системам нельзя без ограничений доверять задачи с доступом к почте, платежам и корпоративным секретам. Чем активнее компании переводят рутину в режим «агент сам ответит», тем важнее становятся проверка личности, модель полномочий и журналирование действий. Иначе почтовый ассистент быстро превращается в самого дисциплинированного сотрудника для злоумышленника.

А вот ещё материалы по теме:
Елизавета Добровольская
Автор itzine.ru с 2021 года. Пишет о смартфонах, гаджетах, железе, искусственном интеллекте и космосе — в общем, обо всём, что есть в мире технологий. От новостей о складных флагманах и процессорах до репортажей о культуре и рынке электромобилей. Следит за индустрией внимательно, но без фанатизма.

Leave a reply