Les chercheurs en sécurité montrent que les agents utilisant la messagerie électronique partageaient des clés AWS et des exportations CRM malgré les invites de sécurité intégrées.
Selon des chercheurs en cybersécurité, les agents d’IA ayant accès à la messagerie électronique et aux applications professionnelles de l’entreprise pourraient devenir une nouvelle cible de phishing pour les attaquants, après qu’un agent de test construit sur OpenClaw ait été amené à partager des informations d’identification cloud et des données client avec un attaquant externe.
Varonis Threat Labs a déclaré avoir construit un agent OpenClaw AI appelé Pinchy pour tester si les agents autonomes pourraient tomber dans les mêmes types d’attaques de phishing qui ciblent depuis longtemps les employés. Varonis a testé l’agent dans un environnement Google Workspace contrôlé, lui donnant accès à une boîte de réception Gmail avec des informations d’identification AWS simulées, des exportations CRM, des conversations internes et des invitations de calendrier.
Le test a utilisé deux configurations : un profil de productivité générique et un profil plus strict incluant des instructions de sécurité par courrier électronique indiquant à l’agent de se méfier du phishing et de vérifier l’identité de l’expéditeur avant d’agir sur des demandes sensibles. Varonis a déclaré que l’agent échouait toujours dans certains scénarios, en particulier lorsque les demandes semblaient provenir de collègues et étaient présentées comme des tâches commerciales routinières ou urgentes.
« Dans certains cas, Pinchy n’a pas seulement réussi à détecter les attaques de phishing, mais il a également réalisé des actions risquées qui pourraient potentiellement compromettre une organisation réelle », a déclaré la société de cybersécurité dans son rapport.
Lors d’un test, Pinchy a transmis les clés AWS IAM, les mots de passe de base de données et les détails d’accès SSH à un compte Gmail externe après avoir reçu ce qui semblait être une demande de routine d’un collègue pour obtenir des informations d’identification.
Lors d’un autre test, un attaquant a demandé à l’agent d’envoyer la dernière exportation client pour une présentation trimestrielle de l’activité. Pinchy a récupéré et transmis une exportation CRM contenant des détails sur 247 entreprises clientes, notamment les noms des entreprises, les coordonnées, les dates de contrat, les niveaux de clients et environ 1,28 million de dollars de données sur les revenus mensuels récurrents.
Mais les résultats n’ont pas été entièrement négatifs. Selon Varonis, l’agent a mieux performé contre les tentatives de phishing plus techniques, notamment un flux de consentement OAuth malveillant déguisé en plateforme de feuilles de temps. Dans ce cas, Pinchy a inspecté l’adresse de redirection, identifié la destination comme suspecte et s’est arrêtée avant d’accorder son consentement.
« Ce contraste est ce qui rend les échecs antérieurs structurellement importants », a déclaré Varonis. « L’agent disposait de suffisamment de raisonnement technique pour reconnaître une infrastructure de phishing sophistiquée. Le point faible était la confiance sociale et la vérification de l’identité. »
Les résultats surviennent alors que les entreprises déplacent les agents IA au-delà des interfaces de chat et dans des flux de travail où ils peuvent récupérer des documents, traiter des messages et agir sur des logiciels d’entreprise.
Un problème d’architecture
Le test OpenClaw indique moins une défaillance du modèle d’IA lui-même que la manière dont l’agent a été configuré et déployé, a déclaré Devashri Datta, chercheur en cybersécurité.
« Les tests de sécurité ont prouvé que les modèles d’IA faisaient bien leur travail sur le plan purement technique », a déclaré Datta.
Le plus gros problème était que l’agent traitait le courrier électronique à la fois comme une source d’informations et une source d’instructions, créant ce que Datta a décrit comme une erreur informatique classique : mélanger la voie des données avec la voie de contrôle.
« Il n’a pas transmis de mot de passe parce que quelqu’un l’avait gentiment demandé ; il a exécuté ce qui semblait être une tâche opérationnelle légitime », a déclaré Datta. « Dans tout système sécurisé, vous ne laissez jamais le chemin des données donner des ordres administratifs. »
D’autres analystes ont déclaré que le modèle ne devrait pas être entièrement retiré de l’équation. Le risque ne se limite pas à une seule couche de la pile technologique, a déclaré Keith Prabhu, fondateur et PDG de Confidis. Le test a montré des problèmes dans la capacité du modèle à juger de la confiance et dans la manière dont les cadres d’agents et la gouvernance d’entreprise géraient l’accès autonome.
« Historiquement, les architectures de sécurité séparent tout pipeline d’orchestration en autorisation, exécution, audit et escalade », a déclaré Prabhu. « Cependant, tout cela est regroupé en un seul pipeline d’agents d’IA, ce qui peut les amener à devenir victimes de telles attaques de phishing. »
Les entreprises ont besoin de contrôles exécutoires
Les entreprises devraient traiter les agents d’IA comme des identités à privilèges élevés, car ils peuvent ingérer du contenu non fiable tout en prenant des mesures sur les systèmes d’entreprise, selon Sunil Varkey, conseiller en cybersécurité et ancien RSSI.
Cette combinaison augmente les enjeux pour les entreprises, en particulier lorsque les agents peuvent lire des e-mails, des documents, des pages Web et des commentaires SaaS tout en envoyant des messages, en exportant des données, en appelant des API ou en mettant à jour des enregistrements, a-t-il déclaré.
« Les frameworks comme OpenClaw manquent souvent d’application robuste de la vérification d’identité, d’autorisations au niveau des outils et de résistance à l’injection rapide », a déclaré Varkey. « Cependant, le facteur décisif dans les tests Varonis a été l’accès trop privilégié, l’absence de surveillance humaine et l’absence de garde-fous d’exécution. »
Akshat Tyagi, responsable associé chez HFS Research, a déclaré que les entreprises devraient se concentrer non seulement sur ce à quoi un agent peut accéder, mais également sur ce qu’il est autorisé à envoyer en dehors de l’organisation.
« Les instructions ne sont pas des contrôles », a déclaré Tyagi. « Si un agent peut envoyer par courrier électronique des données sensibles en dehors de l’entreprise simplement parce que quelqu’un le demande de manière convaincante, le problème ne vient pas uniquement du modèle. »
Les agents d’IA devraient avoir leur propre identité, avec un accès qui peut être limité et surveillé, a déclaré Tyagi. Les demandes impliquant des informations d’identification ou le partage de données client doivent déclencher un examen humain plutôt que d’être laissées au jugement de l’agent.
