Агенты ИИ, получившие доступ к корпоративной электронной почте и бизнес-приложениям, могут стать новой мишенью для фишинговых атак злоумышленников, предупреждают исследователи в области кибербезопасности. Это стало известно после того, как тестовый агент, созданный на базе OpenClaw, был обманом вынужден передать учетные данные облачных сервисов и данные клиентов внешнему атакующему.
Varonis Threat Labs сообщила, что создала ИИ-агента на OpenClaw под названием Pinchy для проверки, могут ли автономные агенты стать жертвами тех же фишинговых атак, которые давно нацелены на сотрудников. Varonis протестировала агента в контролируемой среде Google Workspace, предоставив ему доступ к почтовому ящику Gmail с поддельными учетными данными AWS, выгрузками из CRM, внутренними переписками и приглашениями в календарь.
Тестирование проводилось в двух конфигурациях: с общим профилем продуктивности и с более строгим профилем, включавшим инструкции по безопасности электронной почты, предписывающие агенту проявлять осторожность в отношении фишинга и проверять личность отправителя перед выполнением конфиденциальных запросов. Varonis отметила, что агент все же не справился в некоторых сценариях, особенно когда запросы исходили якобы от коллег и были оформлены как рутинные или срочные рабочие задачи.
«В некоторых случаях Pinchy не только не смог обнаружить фишинговые атаки, но и совершил рискованные действия, которые потенциально могли скомпрометировать реальную организацию», — говорится в отчете фирмы по кибербезопасности.
В одном из тестов Pinchy переслал ключи AWS IAM, пароли баз данных и данные доступа по SSH на внешний аккаунт Gmail после получения запроса, похожего на рутинный, от коллеги о предоставлении учетных данных для тестовой среды (staging).
В другом тесте злоумышленник попросил агента отправить последнюю выгрузку данных клиентов для подготовки квартального отчета о бизнес-обзоре. Pinchy извлек и переслал выгрузку из CRM, содержащую сведения о 247 корпоративных клиентах, включая названия компаний, контактную информацию, даты контрактов, уровни обслуживания клиентов и данные о ежемесячной регулярной выручке (MRR) на сумму около 1,28 миллиона долларов.
Однако результаты были не полностью отрицательными. По данным Varonis, агент лучше справлялся с более технически сложными фишинговыми попытками, включая вредоносный поток согласия OAuth, замаскированный под платформу для учета рабочего времени. В этом случае Pinchy проверил адрес перенаправления, определил пункт назначения как подозрительный и остановился, не предоставив согласие.
«Именно этот контраст делает ранние неудачи структурно важными», — заявили в Varonis. «У агента было достаточно технического мышления, чтобы распознать сложную фишинговую инфраструктуру. Слабым местом оказались социальное доверие и верификация личности».
Эти выводы появились на фоне того, как компании выводят агентов ИИ за пределы чат-интерфейсов и интегрируют их в рабочие процессы, где они могут извлекать документы, обрабатывать сообщения и действовать в различных бизнес-программах.
Проблема архитектуры
Тест OpenClaw указывает скорее не на сбой самой модели ИИ, а на способ конфигурации и развертывания агента, отметил Девашари Датта, исследователь в области кибербезопасности.
«Тесты безопасности фактически доказали, что модели ИИ хорошо справлялись со своими задачами на чисто техническом уровне», — сказал Датта.
Более серьезной проблемой было то, что агент рассматривал электронную почту как источник информации и как источник инструкций, создавая то, что Датта назвал классической ИТ-ошибкой: смешивание канала данных с каналом управления.
«Он не передал пароль, потому что кто-то вежливо попросил; он выполнил то, что выглядело как законная операционная задача», — пояснил Датта. «В любой защищенной системе вы никогда не позволяете каналу данных отдавать административные приказы».
Другие аналитики считают, что модель нельзя полностью исключать из рассмотрения. Риск не ограничивается одним уровнем технологического стека, отметил Кит Прабху, основатель и генеральный директор Confidis. Тест выявил проблемы в способности модели оценивать доверие, а также в том, как фреймворки агентов и корпоративное управление обрабатывали автономный доступ.
«Исторически сложилось так, что архитектуры безопасности разделяют любой конвейер оркестрации на авторизацию, выполнение, аудит и эскалацию», — сказал Прабху. «Однако в агентах ИИ это сведено в единый конвейер, что может привести к тому, что они станут жертвами таких фишинговых атак».
Предприятиям нужны принудительные средства контроля
Предприятия должны относиться к агентам ИИ как к учетным записям с высокими привилегиями, поскольку они могут обрабатывать недоверенный контент, одновременно выполняя действия в бизнес-системах, считает Сунил Варкей, советник по кибербезопасности и бывший CISO.
Эта комбинация повышает ставки для предприятий, особенно когда агенты могут читать электронные письма, документы, веб-страницы и комментарии в SaaS, а также отправлять сообщения, экспортировать данные, вызывать API или обновлять записи, добавил он.
«Фреймворки, такие как OpenClaw, часто не имеют надежного принудительного применения верификации личности, разрешений на уровне инструментов и устойчивости к внедрению подсказок (prompt injection)», — сказал Варкей. «Однако решающим фактором в тестах Varonis стали избыточные привилегии доступа, отсутствие человеческого надзора и нехватка защитных ограждений во время выполнения (runtime guardrails)».
Акшат Тьяги, руководитель практики в HFS Research, считает, что предприятия должны сосредоточиться не только на том, к чему агент имеет доступ, но и на том, что ему разрешено отправлять за пределы организации.
«Инструкции — это не средства контроля», — отметил Тьяги. «Если агент может отправить конфиденциальные данные по электронной почте за пределы компании просто потому, что кто-то убедительно попросил, проблема не только в модели».
Агенты ИИ должны иметь собственные идентификаторы с ограниченным и контролируемым доступом, полагает Тьяги. Запросы, связанные с учетными данными или обменом данными клиентов, должны инициировать проверку человеком, а не оставаться на усмотрение агента.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas
