Thought Leadership
Ein Varonis-Sicherheitstest zeigt: Der Open-Source-KI-Agent OpenClaw fällt auf klassische Phishing-Methoden herein und gibt vertrauliche Passwörter preis.
Das IT-Sicherheitsunternehmen Varonis hat die Anfälligkeit autonomer künstlicher Intelligenzen für klassische Social-Engineering-Taktiken untersucht. Im Zentrum der Untersuchung stand das quelloffene Framework OpenClaw. Diese Software ermöglicht es großen Sprachmodellen, eigenständig mit realen Systemen zu interagieren und Aufgaben wie die automatisierte Verwaltung von E-Mail-Postfächern zu übernehmen. Für das Experiment koppelten die Analysten einen Test-Agenten namens Pinchy mit einem Gmail-Konto, verschiedenen Browser-Werkzeugen, Google Workspace-Schnittstellen sowie synthetischen Unternehmensdaten.
Der simulierte Datenschatz enthielt sensible Informationen wie Zugangsdaten für Amazon Web Services, Datenbank-Passwörter, Exporte aus Kundenverwaltungssystemen und interne Kommunikationsverläufe. Der Test wurde mit zwei unterschiedlichen Sicherheitskonfigurationen durchgeführt: einem generischen Profil mit Standardanweisungen und einem strikten Modus, der explizite Regeln zur Erkennung von Phishing und zur Identitätsprüfung enthielt. Als zugrundeliegende Sprachmodelle dienten Google Gemini 3.1 Pro und OpenAI GPT-5.4.
„Die Varonis Threat Labs untersuchten, ob dieselben Phishing-Techniken, die Menschen seit Jahrzehnten täuschen, auch bei KI-Agenten funktionieren würden, die in ihrem Namen arbeiten,“ heißt es in dem offiziellen Forschungsbericht.
OpenClaw anfällig für Phishing
Die Sicherheitsforscher konfrontierten den KI-Agenten mit vier verschiedenen Phishing-Simulationen, die gemischte Ergebnisse lieferten:
- Ein Angreifer gab sich als Teamleiter aus und forderte unter dem Vorwand eines akuten Produktionsfehlers Zugriff auf die Testumgebung. Der Agent suchte daraufhin die entsprechenden AWS-Schlüssel sowie SSH-Zugangsdaten heraus und leitete diese im Klartext an eine externe Gmail-Adresse weiter.
- In einem zweiten Szenario verlangte der Angreifer einen Datenexport aus dem Kundenverwaltungssystem für eine angebliche Präsentation. Ohne eine Verifizierung des Absenders zu verlangen, extrahierte der Agent die Kundendatensätze samt Umsatzdaten und schickte diese an den Angreifer.
- Beim Erhalt einer gefälschten E-Mail über einen Geschenkgutschein, die einen manipulierten Link enthielt, reagierten die Profile unterschiedlich. Das generische Profil rief die Webseite auf und versuchte, den Gutschein einzulösen, bevor es die Seite als schädlich einstufte. Das strikte Profil blockierte den Versuch sofort.
- Bei einem simulierten Angriff über eine gefälschte Google-OAuth-Anwendung, die als Zeiterfassungsplattform getarnt war, erkannten beide Konfigurationen das Risiko. Der Agent analysierte den Datenfluss und verweigerte die Freigabe.
In den ersten beiden Szenarien bot auch der strikte Sicherheitsmodus keinen Schutz, da das Framework die Dringlichkeit der Anfrage höher bewertete als die Identitätsprüfung des Absenders. Varonis erklärte zu diesem ersten Szenario: „Sowohl das generische als auch das strikte Profil scheiterten, weil der Überprüfungsschritt immer noch zusammenbrach, wenn die Anfrage operativ dringend erschien.“
KI-Agenten scheitern bei zwischenmenschlichen Täuschungsmanövern
Die Ergebnisse verdeutlichen eine strukturelle Schwachstelle aktueller KI-Agenten. Während die Systeme technologische Angriffsfaktoren wie schädliche URLs oder manipulierte Anmeldeseiten präzise identifizieren können, scheitern sie oft an zwischenmenschlichen Täuschungsmanövern. Dies liegt an einer unzureichenden Überprüfung von Absenderidentitäten und der Unfähigkeit, das Zero-Trust-Prinzip auf soziale Interaktionen anzuwenden. Auf der Ebene der Sprachmodelle zeigte Gemini 3.1 Pro eine höhere Bereitschaft zur Interaktion, während GPT-5.4 ein vorsichtigeres Verhalten aufwies.
Als Schutzmaßnahmen empfehlen die Experten, KI-Agenten architektonisch so zu beschränken, dass sie ohne manuelle Freigabe keine E-Mails an neue externe Empfänger senden dürfen. Zudem sollte der Datenzugriff auf interne Systeme je nach Vertrauenswürdigkeit des Eingangskanals segmentiert werden. Bei kritischen Aktionen wie der Weitergabe von Zugangsdaten oder Finanzanfragen muss zwingend eine menschliche Bestätigung in den Arbeitsablauf integriert werden.
(red)
