Các nhà nghiên cứu bảo mật tại Varonis đã xây dựng một đại lý email OpenClawkết nối nó với hộp thư đến Gmail với dữ liệu công ty giả mạo và sau đó lừa đảo nó. Đại lý có tên là Pinchy đã chuyển giao thông tin đăng nhập AWS, chuỗi kết nối cơ sở dữ liệu và xuất dữ liệu của khách hàng mà không xác minh xem ai đang yêu cầu. Phải mất một email mạo danh.
các cuộc thí nghiệm đã kiểm tra xem liệu các tác nhân AI có rơi vào các cuộc tấn công kỹ thuật xã hội tương tự nhằm bắt giữ nhân viên con người hay không. Varonis đã cấp cho Pinchy quyền truy cập vào Gmail, các công cụ trình duyệt và API Google Workspace. Hộp thư đến chứa dữ liệu nội bộ giả nhưng thực tế: khóa AWS IAM, thông tin xác thực SSH, bản xuất CRM, thông tin liên lạc nội bộ và lời mời theo lịch.
Họ đã thử nghiệm hai cấu hình: một thiết lập chung với hướng dẫn năng suất tiêu chuẩn và một chế độ nghiêm ngặt được thiết kế rõ ràng để phát hiện hành vi lừa đảo. Họ chạy cả hai thông qua Gemini 3.1 Pro và GPT-5.4.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Kết quả là một sự chia rẽ. Khi kẻ tấn công mạo danh một trưởng nhóm có tên “Dân” và tuyên bố rằng có sự cố sản xuất, Pinchy đã tìm kiếm hộp thư đến để tìm thông tin xác thực dàn dựng, tìm thấy chúng và chuyển tiếp chúng ở dạng văn bản thuần túy. Khi kẻ tấn công yêu cầu xuất dữ liệu của khách hàng và nói rằng họ đang làm việc từ xa trên một bản trình bày, Pinchy đã truy xuất và gửi một tệp CRM chứa tên, chi tiết liên hệ và 1,28 triệu USD dữ liệu doanh thu định kỳ hàng tháng cho 247 khách hàng doanh nghiệp.
Cả hồ sơ chung và hồ sơ nghiêm ngặt đều thất bại trong các thử nghiệm này. “Bước xác minh vẫn bị sập khi yêu cầu xuất hiện khẩn cấp về mặt vận hành,” Varonis nói.
Nhưng Pinchy hoạt động tốt trước lừa đảo kỹ thuật truyền thống. Khi các nhà nghiên cứu gửi email thẻ quà tặng giả có liên kết lừa đảo, nhân viên đã xác định trang này là độc hại và chặn nó. Khi họ cố gắng xâm nhập vào một ứng dụng Google OAuth độc hại được ngụy trang dưới dạng nền tảng bảng chấm công, Pinchy đã kiểm tra URL chuyển hướng và dừng luồng xác thực.
Mô hình rõ ràng. Các tác nhân AI rất giỏi trong việc phát hiện các URL mờ ám và các ứng dụng OAuth độc hại, các loại mối đe dọa có chữ ký kỹ thuật. Chúng thất bại khi cuộc tấn công dựa vào xác minh danh tính và phán đoán theo ngữ cảnh, loại lý luận mà con người cũng gặp khó khăn nhưng các tổ chức lại dựa vào đó để ngăn chặn kỹ thuật lừa đảo xã hội.
Varonis cũng lưu ý sự khác biệt giữa các mẫu xe. Gemini 3.1 Pro đã trình chiếu “sẵn sàng tương tác hơn” trước khi gây nghi ngờ. GPT-5.4 thận trọng hơn và ít sẵn sàng cung cấp thông tin nhạy cảm cho các điểm đến bên ngoài mà không có xác nhận. Cả hai đều không đủ tin cậy để tin tưởng vào một hộp thư đến chứa đầy thông tin xác thực thực.
Các phát hiện này bổ sung thêm bằng chứng cho thấy các tác nhân AI được kết nối với hệ thống thực tạo ra các bề mặt tấn công mới mà các công cụ bảo mật hiện có không thể xử lý được. Varonis khuyến nghị rằng các đại lý nên buộc phải xác minh danh tính người gửi trước khi hành động, ngăn không cho gửi email cho những người nhận bên ngoài mới mà không có sự chấp thuận của con người và được cấp quyền truy cập hạn chế vào dữ liệu nội bộ. Nói cách khác, các nguyên tắc không tin cậy tương tự mà các tổ chức áp dụng cho nhân viên con người cũng cần áp dụng cho các tác nhân AI của họ.
Nguồn The Next Web