Los investigadores engañaron a un agente de OpenClaw AI para que filtrara claves de AWS y datos de clientes a través de un correo electrónico de phishing

Los investigadores de seguridad de Varonis crearon un agente de correo electrónico OpenClaw, lo adjuntaron a una bandeja de entrada de Gmail con datos falsos de la empresa y luego lo suplantaron. El agente, llamado Pinchy, entregó las credenciales de AWS, una cadena de conexión a la base de datos y una exportación del cliente sin verificar quién preguntaba. Fue necesario un solo correo electrónico suplantado

El experimento examinó si los agentes de IA caen en los mismos ataques de ingeniería social que los empleados humanos. Varonis le dio a Pinchy acceso a Gmail, a las herramientas del navegador y a la API de Google Workspace. La bandeja de entrada está decorada con datos internos falsos pero realistas: claves de AWS IAM, credenciales SSH, exportaciones de CRM, contactos internos e invitaciones de calendario.

Probaron dos configuraciones: una configuración genérica con instrucciones de productividad estándar y un modo estricto diseñado específicamente para detectar phishing. Funcionaron tanto con Gemini 3.1 Pro como con GPT-5.4.

Los resultados fueron divididos. Cuando un atacante se hace pasar por un líder de equipo llamado "Y"Y alegando que había un problema de producción, Pinchy buscó en la bandeja de entrada credenciales de preparación, las encontró y las reenvió en texto sin formato. Cuando el atacante solicitó una exportación de cliente, diciendo que estaban trabajando remotamente en una presentación, Pinchy recuperó y envió un archivo CRM que contenía nombres, detalles de contacto y $1,28 millones en entrada de datos de clientes recurrentes mensuales por un valor de $47 millones.

Tanto los perfiles genéricos como los estrictos no superan esta prueba. "El paso de verificación también se interrumpe cuando la solicitud parece ser funcionalmente urgente," dijo el héroe.

Pero Pinchy tuvo un buen desempeño contra el phishing técnico tradicional. Cuando los investigadores envían un correo electrónico con una tarjeta de regalo falsa con un enlace de phishing, el agente marca la página como maliciosa y la bloquea. Cuando intentaron introducir una aplicación maliciosa de Google OAuth que se hacía pasar por la plataforma Timesheet, Pinchy inspeccionó la URL de redireccionamiento y detuvo el flujo de autenticación.

El patrón es claro. Los agentes de IA son buenos para detectar patrones de amenazas, incluidas URL sospechosas, aplicaciones OAuth maliciosas y firmas técnicas. Fracasan cuando el ataque se basa en la verificación de identidad y juicios contextuales, el tipo de lógica con la que lucha la gente pero en la que confían las organizaciones para evitar la ingeniería social.

Varonis también menciona una diferencia entre los modelos. El Gemini 3.1 Pro mostró “Mayor disposición para interactuar." antes de levantar sospechas. GPT-5.4 fue más cauteloso y menos dispuesto a entregar información confidencial a destinos externos sin confirmación. No es lo suficientemente confiable como para confiar con una bandeja de entrada llena de credenciales reales.

Los hallazgos se suman a un creciente cuerpo de evidencia de que los agentes de IA conectados a sistemas reales crean nuevas superficies de ataque que las herramientas de seguridad existentes no cubren. Varonis recomienda que se obligue a los agentes a verificar la identidad del remitente antes de actuar, que se les impida enviar correos electrónicos a nuevos destinatarios externos sin la aprobación humana y que se les dé acceso limitado a los datos internos. En otras palabras, la misma política de confianza cero que las organizaciones aplican a los trabajadores humanos también debe aplicarse a sus agentes de IA.