- El agente OpenClaw “Pinchy” de Varonis cayó en phishing basado en identidad a pesar de una configuración estricta
- Los modelos bloquearon enlaces maliciosos/aplicaciones OAuth pero permitieron acceso confidencial si las solicitudes parecían urgentes.
- Los investigadores dicen que los agentes de IA necesitan verificación de identidad antes de poder actuar
Los investigadores de seguridad probaron un agente de correo electrónico OpenClaw para ver si era lo suficientemente inocente como para que las mismas estafas de phishing fueran leídas a los empleados regulares, y tuvo éxito. O fracasar, según se mire.
El investigador de ciberseguridad Varonis Pinchy creó un agente OpenClaw y lo conectó a una bandeja de entrada de Gmail, a las herramientas del navegador y a la API de Google Workspace. Crean la cuenta con datos internos falsos de la empresa, credenciales de AWS, credenciales de bases de datos, exportaciones de CRM, comunicaciones internas e invitaciones de calendario, y luego le piden a Pinchy que supervise y procese los correos electrónicos entrantes.
Para simular situaciones de la vida real de la manera más creíble posible, crearon dos configuraciones: una simple con instrucciones generales de productividad y un modo estricto que debe tener en cuenta el phishing y otras estafas relacionadas con el correo electrónico.
Varonis probó dos modelos: el Gemini 3.1 Pro y el GPT-5.4, y los resultados parecen ser heterogéneos.
Dónde ha fracasado la IA y dónde ha funcionado bien
Cuando el atacante se hace pasar por el líder del equipo y solicita acceso al entorno de preparación, Pinchi se lo concede. Cuando el atacante solicitó la exportación de un cliente, afirmando que trabajaba de forma remota en una presentación, Pinchy accedió.
Sin embargo, cuando envían al agente un correo electrónico con una tarjeta de regalo falsa con un enlace de phishing, marca la página como maliciosa y la bloquea. Además, Pinchy hizo lo correcto y no concedió acceso cuando intentaron hacer pasar una aplicación maliciosa de Google OAuth como una plataforma de parte de horas.
“Tanto los perfiles genéricos como los estrictos fallaron porque el paso de verificación falló cuando la solicitud parecía funcionalmente urgente”, dijo Varonis sobre el primer escenario de ataque.
La conclusión es que la IA es buena para identificar URL sospechosas y aplicaciones OAuth maliciosas, pero falla cuando requiere verificación de identidad o un contexto más amplio.
Varonis también arrojó algo de luz sobre el camino de Google, diciendo que Gemini ha mostrado una “mayor voluntad de negociar”, mientras que GPT se mostró más cauteloso. Los investigadores dicen que se debería obligar a los agentes a verificar la identidad del remitente antes de continuar.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
