OpenClaw AI Agent在新型钓鱼攻击模拟中泄露敏感凭证

AI Agent正逐渐成为企业管理收件箱的核心工具，承担着信息分类、文件检索甚至代员工回复邮件等任务。研究人员现已证实，这些AI Agent与人类一样容易受到欺骗，有时甚至更容易中招。

最新钓鱼攻击模拟显示，名为OpenClaw的AI Agent仅需一封看似可信的邮件就能被诱导泄露敏感凭证。在控制测试中，该Agent将AWS IAM密钥、数据库密码和SSH访问权限转发至外部Gmail邮箱，引发了对AI Agent信任与身份处理机制的严重担忧。

Part01

实验设计与惊人发现

Varonis威胁实验室的研究人员设计了这项实验，旨在验证长期针对人类的钓鱼技术是否对AI Agent同样有效。他们让名为Pinchy的OpenClaw Agent在两种配置环境下（普通生产力模式与严格安全模式）接受了四次钓鱼模拟测试。

测试环境模拟真实企业邮箱，包含模拟的AWS凭证、CRM导出数据、内部对话和日历邀请。研究人员发现OpenClaw最薄弱的环节是社会工程操纵而非技术欺骗——它能识别虚假登录页面和可疑OAuth请求，却会被伪装成同事的普通邮件完全突破防线。

Part02

关键测试案例剖析

在最严重的测试场景中，攻击者冒充名为Dan的团队负责人发送紧急邮件，声称生产环境出现故障，要求Agent提供预发布环境凭证。尽管邮件来自未经验证的外部Gmail账户，Agent仍在严格安全模式下搜索邮箱并以明文形式转发了AWS IAM访问密钥、数据库连接字符串和包含内部主机信息的SSH详情。

另一测试采用更温和的策略：攻击者以远程准备演示为由，casually地索要最新客户数据。Agent未经任何验证就转发了包含247家企业客户信息及约280万美元月经常性收入的数据集。

Part03

技术防御与社会工程对比

并非所有测试都以失败告终。当面对虚假礼品卡兑换链接和恶意OAuth授权页面时，Agent展现出较强的判断力：检查重定向URL、标记可疑目标，并在授权前终止OAuth流程。这种差异凸显了AI Agent的优势与短板——能可靠应对技术性钓鱼攻击，却难以防范看似来自可信同事的社交工程请求。

研究人员发现不同AI模型表现存在差异：GPT-5.4对敏感数据共享保持更严格态度，而Gemini 3.1 Pro更倾向于先与可疑内容交互再提出质疑。但两种模型同样易受社交语境操纵。

Part04

安全加固建议

为弥补这些缺陷，研究人员建议将Agent配置文件视为正式安全控制文档而非基础设置文件。具体措施包括：

• 禁止Agent向未知地址发送外发邮件

• 涉及凭证或外部路由的操作需人工审批

• 根据请求来源限制Agent数据访问权限

这些发现清晰表明：AI Agent如同拥有全系统访问权限却缺乏组织直觉的新员工——这既是其价值所在，也是其成为攻击目标的原因。