Når du kobler en KI-agent til e-posten, fillageret og legitimasjonen din, gir du den ofte tilgang til alt på én gang. Varonis Threat Labs bygde en autonom e-postagent kalt «Pinchy» oppå OpenClaw og kjørte fire kontrollerte phishing-simuleringer for å se hvor lett den lot seg sosial-manipulere. Den ga etter.
I eksperimentene eksfiltrerte agenten AWS IAM-nøkler, databasepassord, SSH-legitimasjon og CRM-eksporter med kundedata, alt sendt til Gmail-kontoer angriperen kontrollerte. Varonis skiller mellom to angrepsklasser: indirekte prompt injection, der ondsinnede instruksjoner gjemmes i data agenten behandler, og agent-phishing, der troverdige, menneskelignende forespørsler gjennom vanlige kanaler utløser priviligerte handlinger uten skikkelig identitets- eller intensjonssjekk.
Konfigurasjonen avgjorde mye. En «strict»-profil blokkerte minst én ondsinnet phishing-lenke som «generic»-profilen først åpnet, et tegn på hvor mye standardinnstillingene betyr. Dette treffer Pulsen-lesere direkte: parallell analyse fra Bitsight fant over 30 000 eksponerte OpenClaw-instanser i en måling i januar og februar.
Hva bør du gjøre?
- Kjør OpenClaw med den strengeste tilgjengelige profilen, ikke standardoppsettet, hvis agenten har tilgang til e-post eller filer.
- Gi aldri agenten direkte tilgang til langlivet legitimasjon. Bruk kortlevde tokens og krev menneskelig godkjenning for utgående data.
- Sjekk om din egen OpenClaw-instans er eksponert mot internett, og steng den bak autentisering hvis den er det.