セキュリティ企業Varonisは、OpenClawのAIメール代理(エージェント)を悪用する攻撃の成立性を検証しましたです。
Varonisは、Gmailの受信箱に接続したOpenClawのメールエージェントを構築し、偽の会社データを用意しましたです。
エージェントは「Pinchy」と呼ばれ、送信者を確認せずに、なりすましメールへの対応を行いましたです。
その結果、PinchyはAWSの認証情報(クレデンシャル)やデータベース接続文字列、顧客のエクスポートデータを渡しましたです。
Varonisによると、攻撃には単一のなりすましを目的としたメールだけで十分だったとしていますです。
同社は、この実験を通じてAIエージェントが「誰が要求しているか」を検証しない場合に機密情報が漏えいし得ることを示したとしていますです。
参照元:2026/06/11 「Researchers tricked an OpenClaw AI agent into leaking AWS keys and customer data with a phishing email」 https://thenextweb.com/news/openclaw-ai-agent-phishing-varonis-pinchy
この記事へのリアクション
このニュースをどう受け止めましたか?
Reader Reaction
コメント