文章总结： 公开资料显示，OpenClawAIAgent在钓鱼攻击模拟中暴露出严重安全风险，其能有效识别技术性钓鱼但易受社会工程攻击。实验表明攻击者冒充同事即可诱骗Agent泄露AWS密钥、客户数据等敏感信息。研究人员建议将Agent配置视为正式安全文档，禁止向未知地址发邮件、设置人工审批机制并限制数据访问权限。 综合评分： 85 文章分类： AI安全,社会工程学,安全意识,威胁情报,安全建设

OpenClaw AI Agent在新型钓鱼攻击模拟中泄露敏感凭证

FreeBuf

2026年6月11日 18:00 上海

在小说阅读器读本章

去阅读

AI Agent正逐渐成为企业管理收件箱的核心工具，承担着信息分类、文件检索甚至代员工回复邮件等任务。研究人员现已证实，这些AI Agent与人类一样容易受到欺骗，有时甚至更容易中招。

最新钓鱼攻击模拟显示，名为OpenClaw的AI Agent仅需一封看似可信的邮件就能被诱导泄露敏感凭证。在控制测试中，该Agent将AWS IAM密钥、数据库密码和SSH访问权限转发至外部Gmail邮箱，引发了对AI Agent信任与身份处理机制的严重担忧。

Part01

实验设计与惊人发现

Varonis威胁实验室的研究人员设计了这项实验，旨在验证长期针对人类的钓鱼技术是否对AI Agent同样有效。他们让名为Pinchy的OpenClaw Agent在两种配置环境下（普通生产力模式与严格安全模式）接受了四次钓鱼模拟测试。

测试环境模拟真实企业邮箱，包含模拟的AWS凭证、CRM导出数据、内部对话和日历邀请。研究人员发现OpenClaw最薄弱的环节是社会工程操纵而非技术欺骗——它能识别虚假登录页面和可疑OAuth请求，却会被伪装成同事的普通邮件完全突破防线。

Part02

关键测试案例剖析

在最严重的测试场景中，攻击者冒充名为Dan的团队负责人发送紧急邮件，声称生产环境出现故障，要求Agent提供预发布环境凭证。尽管邮件来自未经验证的外部Gmail账户，Agent仍在严格安全模式下搜索邮箱并以明文形式转发了AWS IAM访问密钥、数据库连接字符串和包含内部主机信息的SSH详情。

另一测试采用更温和的策略：攻击者以远程准备演示为由，casually地索要最新客户数据。Agent未经任何验证就转发了包含247家企业客户信息及约280万美元月经常性收入的数据集。

Part03

技术防御与社会工程对比

并非所有测试都以失败告终。当面对虚假礼品卡兑换链接和恶意OAuth授权页面时，Agent展现出较强的判断力：检查重定向URL、标记可疑目标，并在授权前终止OAuth流程。这种差异凸显了AI Agent的优势与短板——能可靠应对技术性钓鱼攻击，却难以防范看似来自可信同事的社交工程请求。

研究人员发现不同AI模型表现存在差异：GPT-5.4对敏感数据共享保持更严格态度，而Gemini 3.1 Pro更倾向于先与可疑内容交互再提出质疑。但两种模型同样易受社交语境操纵。

Part04

安全加固建议

为弥补这些缺陷，研究人员建议将Agent配置文件视为正式安全控制文档而非基础设置文件。具体措施包括：

• 禁止Agent向未知地址发送外发邮件
• 涉及凭证或外部路由的操作需人工审批
• 根据请求来源限制Agent数据访问权限

这些发现清晰表明：AI Agent如同拥有全系统访问权限却缺乏组织直觉的新员工——这既是其价值所在，也是其成为攻击目标的原因。

参考来源：

OpenClaw AI Agent Leaks Sensitive Credentials in New Phishing Attack Simulation

OpenClaw AI Agent Leaks Sensitive Credentials in New Phishing Attack Simulation

推荐阅读

#

#

#

#

#

#

#

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《OpenClaw AI Agent在新型钓鱼攻击模拟中泄露敏感凭证》