對使用不同配置的OpenClaw郵件agent進行網路釣魚模擬測試，容易受到常用攻擊手段的攻擊。OpenClaw是一個開源AI agent框架，允許大型語言模型 (Large Language Model, LLM) 與現實世界的系統互動並自主執行操作。可以作為郵件代理進行基本的推理和操作。網路安全公司Varonis研究人員建立一個OpenClaw Agent，並將其連接到Gmail收件匣、瀏覽器工具、Google Workspace API以及虛構的公司內部資料來源，指示其監控和處理收到的電子郵件。合成企業資料包括AWS憑證、資料庫憑證、CRM匯出資料、內部通訊記錄和日曆邀請，所有這些都是高度敏感的資料。

代理程式運作在兩種配置下：一種是通用模式，包含標準生產力指令；另一種是嚴格模式，包含針對網路釣魚防範和身分驗證程序的特定指令。該框架使用兩個模型進行測試，分別是Google Gemini 3.1 Pro和OpenAI GPT-5.4。Varonis Threat Labs探索幾十年來一直欺騙人類的網路釣魚技術是否也能對代表人類工作的AI 代理奏效。建立一個名為Pinchy的OpenClaw AI代理，以測試該代理能否通過經典的網路釣魚模擬。（如圖1所示）

圖1:模擬攻擊示意圖

網路安全研究人員進行了四次模擬網路釣魚攻擊，結果好壞參半，總結如下：

1. 駭客冒充組織負責人：在所謂的生產環境出現問題時請求存取測試環境。攻擊者獲取AWS IAM金鑰、資料庫憑證和SSH存取詳細資訊，並透過電子郵件發送到外部Gmail帳戶。
2. 駭客以遠端處理簡報為由：請求匯出客戶資料。駭客取得並發送一個包含客戶記錄、聯絡資訊、合約詳情和收入資料的CRM匯出檔案，但未驗證發送者的身分。
3. 駭客收到一封包含釣魚連結的虛假禮品卡電子郵件：在通用配置下，駭客存取釣魚網站，並嘗試使用偽造的憑證兌換禮品卡，最終識別出該頁面為惡意頁面。在嚴格配置下，駭客立即阻止攻擊。
4. 研究人員建立一個偽裝成差勤平台的惡意Google OAuth應用程式：駭客檢查OAuth流程，分析目標位址，識別出該應用程式可疑，並拒絕授予存取權限。

Varonis解釋第一種攻擊場景時，在前兩種情況下，儘管採取額外的安全措施，嚴格模式仍然失敗，原因是框架未能驗證發送者的身分。通用模式和嚴格模式都失敗，因為當請求看起來具有緊急性時，驗證步驟仍然會崩潰。（如圖2所示）

圖2:Agent對情境2反應暴露客戶資料示意圖

Varonis結論：AI agent擅長檢測可疑URL、識別虛假登錄頁面、發現惡意OAuth應用以及識別網路釣魚跡象，但由於缺乏身份驗證、上下文資訊缺失以及無法將零信任原則應用於社交互動，所以仍然可能失敗。在模型層面，Gemini表現出更強的互動意願，而GPT-5.4 則採取更謹慎的態度，應明確要求代理商驗證寄件者身份，未經批准不得向​​新的外部收件人發送電子郵件，並限制其存取內部資料。對於憑證共享、財務資料請求和首次通訊等高風險操作，應請求手動批准。

本文參考自：https://www.bleepingcomputer.com/news/security/openclaw-ai-agent-found-falling-for-phishing-attacks-spills-user-data/