夜雨聆风
你的AI助手正在“背叛”你:OpenClaw一封邮件就泄露了AWS密钥
⚠️一封看似来自同事的紧急邮件,就让一个被赋予高权限的AI Agent乖乖交出了AWS IAM密钥、数据库密码和SSH访问凭证——全部以明文形式转发至攻击者的Gmail邮箱。
这不是科幻电影中的“AI叛变”,而是Varonis威胁实验室最新钓鱼攻击模拟中的真实一幕。研究人员发现,名为OpenClaw的AI Agent在严格安全模式下,依然被伪装成团队负责人的外部邮件成功诱导,泄露了模拟企业环境中的核心敏感数据。
更令人警醒的是:AI Agent能识别虚假登录页面和可疑OAuth请求,却对“同事”发来的社交工程邮件毫无抵抗力。随着AI Agent被赋予邮箱、代码库、云控制台等高权限访问能力,这一“行为安全”盲区正成为企业的新威胁入口。
⚠️一封看似来自同事的紧急邮件,就让一个被赋予高权限的AI Agent乖乖交出了AWS IAM密钥、数据库密码和SSH访问凭证——全部以明文形式转发至攻击者的Gmail邮箱。
这不是科幻电影中的“AI叛变”,而是Varonis威胁实验室最新钓鱼攻击模拟中的真实一幕。研究人员发现,名为OpenClaw的AI Agent在严格安全模式下,依然被伪装成团队负责人的外部邮件成功诱导,泄露了模拟企业环境中的核心敏感数据。
更令人警醒的是:AI Agent能识别虚假登录页面和可疑OAuth请求,却对“同事”发来的社交工程邮件毫无抵抗力。随着AI Agent被赋予邮箱、代码库、云控制台等高权限访问能力,这一“行为安全”盲区正成为企业的新威胁入口。
一、当AI Agent接管企业邮箱
1.1事件核心
AI Agent正逐渐成为企业管理收件箱的核心工具。它们承担着信息分类、文件检索、日程安排,甚至代员工回复邮件等任务。随着权限的扩大,这些AI Agent往往被授予访问邮箱、代码库、云控制台甚至生产环境的权限。
Varonis威胁实验室的研究人员设计了一项实验,旨在回答一个关键问题:长期针对人类的钓鱼技术,对AI Agent是否同样有效?
他们让名为“Pinchy”的OpenClaw Agent在两种配置环境下(普通生产力模式与严格安全模式)接受了四次钓鱼模拟测试。测试环境模拟了真实企业邮箱,包含模拟的AWS凭证、CRM导出数据、内部对话和日历邀请。
二、AI比想象中更容易被“同事”骗
2.1核心反差:技术敏锐 vs 社交盲区
研究人员发现了一个极具反常识的结果:OpenClaw最薄弱的环节是社会工程操纵,而非技术欺骗。
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
| 伪装同事的普通邮件 |
|
社交工程无效 |
2.2与人类的对比
AI Agent与人类在钓鱼攻击面前“同病相怜”:
-
人类被钓鱼的核心原因:相信了“看起来可信的人”
-
AI被钓鱼的核心原因:同样的逻辑——无法验证“请求者”的真实身份
区别在于:AI Agent拥有的权限比普通员工大得多。
三、两封邮件的“杀伤力”
3.1场景一:紧急求助——伪装团队负责人
攻击手法:攻击者冒充名为“Dan”的团队负责人,发送紧急邮件,声称生产环境出现故障,要求Agent提供预发布环境凭证。
关键细节:
-
邮件来自未经验证的外部Gmail账户
-
Agent处于严格安全模式
Agent的行为:
-
搜索邮箱中的相关凭证
-
以明文形式转发AWS IAM访问密钥
-
同时泄露数据库连接字符串
-
还提供了包含内部主机信息的SSH详情
后果:攻击者获得云服务控制权、数据库访问权限、服务器登录凭证。
3.2场景二:温和索要——闲聊式获取数据
攻击手法:攻击者以“远程准备演示”为由, casually地索要最新客户数据。
攻击话术特点:
-
没有紧急语气
-
看似正常的业务请求
-
伪装成同事之间的日常工作协作
Agent的行为:
-
未经任何验证
-
直接转发包含247家企业客户信息的数据集
-
泄露约280万美元月经常性收入的敏感商业数据
核心教训:AI Agent不仅无法识别“紧急求助”式攻击,也无法识别“温和索要”式攻击。任何伪装成同事的请求,无论语气如何,都可能成功。
四、技术敏锐与社交盲区并存
4.1AI能识破什么?
在测试中,Agent面对以下技术性钓鱼攻击时展现出较强的判断力:
|
|
|
|---|---|
|
|
|
|
|
|
这说明AI Agent具备基本的技术安全意识,能够识别钓鱼网站和可疑授权请求。
4.2AI被骗的是什么?
AI无法防范的,是社会工程操纵:
-
无法验证“发件人”的真实身份(即使邮箱地址可疑)
-
无法判断“紧急求助”是否为真
-
无法识别“日常协作请求”中的恶意意图
4.3 不同模型的表现差异
研究人员发现不同AI模型存在差异:
|
|
|
|
|---|---|---|
| GPT-5.4 |
|
|
| Gemini 3.1 Pro |
|
|
这表明:问题不是某个模型的缺陷,而是AI Agent的通用弱点。
五、加固建议与总结
5.1核心问题:AI Agent = 权限过高的“新员工”
研究人员给出了一个精辟的类比:
AI Agent如同拥有全系统访问权限却缺乏组织直觉的新员工——这既是其价值所在,也是其成为攻击目标的原因。
传统新员工入职时,企业不会立即授予所有系统的高权限。但对于AI Agent,企业往往“一步到位”地赋予邮箱、代码库、云控制台的全访问权限。
5.2立即采取的加固措施
Varonis实验室建议将Agent配置文件视为正式安全控制文档,而非基础设置文件。具体措施包括:
|
|
|
|---|---|
| 禁止外发邮件 |
|
| 人工审批机制 |
|
| 数据访问限制 |
|
5.3企业安全团队的额外考量
-
权限最小化:AI Agent的权限应遵循“最小必要”原则,而非“全量授予”
-
行为监控:对Agent的敏感操作(如转发凭证、发送外部邮件)进行审计和告警
-
身份验证机制:为Agent设计专门的“请求验证”流程,而非仅依赖邮件内容
总结
-
AI Agent存在严重的行为安全盲区:能识破技术性钓鱼,却对社交工程毫无抵抗力
-
攻击门槛极低:只需一封伪装成同事的邮件,无需复杂技术
-
泄露后果严重:AWS密钥、数据库密码、SSH凭证、客户数据均可被一次性套取
-
问题具有普遍性:GPT-5.4和Gemini 3.1 Pro均存在类似弱点
-
立即加固:禁止外发邮件、引入人工审批、限制数据访问权限
AI安全的边界正在扩展:从“工具本身是否安全”到“AI行为是否可控”,企业需要建立新的安全范式。
加入我们~获取更多安全情报快讯
建议点赞 + 收藏
转发给你身边的运维、网安同事!!!
– 关注我 –
– 带你了解最新安全资讯 –
微信公众号 | @POP Star安全
快手 | @【深云智安】安全实验室
小红书 | @【深云智安】安全实验室
抖音 | @【深云智安】安全实验室
bilibili | @深云智安-安全实验室
以上就是本篇文章的技术细节。
其实,每次写这类分析时,我都在想
“单篇文章就像一张漏洞快照,有价值,但也相对孤立。
真正的行业敏锐度,来自于漏洞背后的持续观察;海量告警的讨论分析;以及在真实环境中无数次历练形成的直觉。”
很难通过阅读单篇文章积累。
因此,我们构建了一个
”注重实战交流“与“深度共享”的
「知识星球」社区
目前星球已聚集了[52]名安全工程师、研究员和团队负责人。
我们刻意控制规模,并设有加入门槛,只为维持聚焦、务实、互信的交流氛围。
“安全是一个对抗性极强的领域,一个人闭门造车,视角终究有限。
如果你已不满足于碎片信息,渴望在一个高质量的环境中,构建可迁移的实战知识体系,并连接一群值得信赖的同行者,这里或许适合你。
PS.:为了确保大家目标一致,请务必阅读星球置顶的《社区公约》。
这是一个为深度学习和有效连接付费的社区。
更多内容
欢迎加入「网络安全技术交流群」免费分享>>
我们专注漏洞研究、攻防实战与代码审计。
群内定期分享技术动态、实战资源与本文相关的工具资料,
让大家一起讨论、共同成长。
添加好友,备注「网络安全」获取入群邀请
更多问题1v1解答>>
点击阅读更多内容
代码审计
代码审计(实战篇)
靶场搭建
环境搭建