OpenClaw провалил тесты на фишинг: ИИ-агент не распознал подделанные письма

Почтовый ИИ-агент OpenClaw провалил тесты на устойчивость к фишинговым атакам. Исследователи выявили, что система попадается на те же социальные уловки и манипуляции, что и обычные офисные работники — может быть, даже ненамного лучше.

Как проводилось тестирование

Группа экспертов в области кибербезопасности разработала серию фишинговых писем, которые имитируют реальные атаки на компании. Письма содержали все классические признаки подделок: просьбы срочно подтвердить пароль в связи с «обновлением безопасности», поддельные ссылки на сайты банков и облачных сервисов, срочные уведомления об угрозе взлома, требования обновить платёжные реквизиты. OpenClaw столкнулся с этими тестами и регулярно попадался на удочку. Агент открывал опасные вложения, переходил по вредоносным ссылкам, пытался выполнить команды, содержавшиеся в письмах. Система действовала с видимой уверенностью, как будто в письмах не было ничего подозрительного. Даже самые очевидные подделки — письма якобы от IT-отдела с требованиями срочного действия и неправильным адресом отправителя — не вызывали у агента сомнений.

Почему ИИ-агент оказался уязвим

Специалисты выделили несколько ключевых причин провала: Отсутствие контекста безопасности — OpenClaw обучался на примерах обычной работы с почтой, а не на распознавании фишинговых атак и угроз Доверие по умолчанию — агент исходит из предположения, что письма имеют отношение к легитимной деятельности и могут быть выполнены Поверхностная фильтрация метаданных — система не проверяет адреса отправителей и другие технические признаки подозрительности с достаточной тщательностью Отсутствие интеграции с корпоративными системами безопасности — нет связи с базами известных фишинговых адресов, доменов и вредоносных ссылок Когда человек получает письмо с просьбой подтвердить пароль, он обычно паузирует и проверяет адрес отправителя. ИИ-агент этого не делает — видит ключевые слова и приступает к выполнению задачи.

«ИИ-агентам нужна специальная подготовка на примерах фишинга, иначе

они могут стать инструментом в руках злоумышленников», — отмечают исследователи.

Риски при внедрении в компании

Если развернуть такой агент в корпоративной среде без дополнительного уровня защиты, он может превратиться в уязвимую точку входа. Вместо защиты от фишинга система будет автоматически исполнять команды злоумышленников с той же скоростью и точностью, что и легитимные рабочие задачи. Проблема усугубляется тем, что ИИ-агентам часто выдают права доступа к корпоративным системам: почте, облачным хранилищам, базам данных. Объём потенциального ущерба увеличивается пропорционально числу и уровню этих прав. Если агент откроет вложение с вредоносом кодом, это может скомпрометировать всю сеть компании.

Что это значит

Внедрение ИИ-агентов в компаниях требует предварительной серьёзной работы над безопасностью. Нельзя просто включить автономный агент и надеяться, что он работает безопасно. Нужны дополнительные слои фильтрации на уровне почты, специальное обучение агента на примерах фишинговых атак, обязательная интеграция с корпоративными системами защиты и мониторинга. Иначе внедрение ИИ-агента превратится в открытые ворота для целевых атак и утечек данных.