در آزمایشی که توسط پژوهشگران شرکت امنیتی Varonis Threat Labs انجام شد، عامل هوش مصنوعی OpenClaw (AI agent) نشان داد که میتواند همانند کاربران انسانی در برابر تکنیکهای کلاسیک فیشینگ آسیبپذیر باشد. نتایج این پژوهش نشان میدهد که عامل هوش مصنوعی OpenClaw در برخی سناریوهای شبیهسازیشده حملات فیشینگ، بدون انجام فرآیندهای لازم برای احراز هویت، دادههای حساس سازمانی از جمله کلیدهای AWS، اطلاعات پایگاه داده، دادههای CRM و جزئیات دسترسی SSH را در اختیار مهاجم قرار داده است. این یافتهها بار دیگر چالشهای امنیتی مرتبط با بهکارگیری عاملهای هوش مصنوعی دارای قابلیت تصمیمگیری مستقل را در محیطهای سازمانی برجسته میکند.
ارزیابی عامل هوش مصنوعی OpenClaw در یک محیط سازمانی شبیهسازیشده
فریمورک متنبازOpenClaw بستری را فراهم میکند که به مدلهای زبانی بزرگ (LLMs) امکان میدهد با سامانههای واقعی تعامل کرده و مجموعهای از وظایف را با حداقل دخالت کاربر انجام دهند. این فریمورک میتواند در نقش یک عامل ایمیل (Email Agent) بهکار گرفته شود تا پیامهای دریافتی را تحلیل کرده، درخواستها را پردازش کند و برخی عملیاتهای روزمره را بهصورت خودکار مدیریت نماید.
در همین راستا، پژوهشگران Varonisبرای ارزیابی میزان مقاومت عامل هوش مصنوعی OpenClaw در برابر تهدیدات مهندسی اجتماعی، یک محیط آزمایشی نزدیک به شرایط واقعی سازمانها ایجاد کردند. در این سناریو، عامل مذکور به صندوق ورودی جیمیل، ابزارهای مرورگر، رابطهای برنامهنویسی گوگل ورکاسپیس (Google Workspace APIs) و مجموعهای از منابع داده داخلی شبیهسازیشده متصل شد. سپس وظیفه مانیتورینگ، تحلیل و پردازش ایمیلهای ورودی به آن واگذار گردید.
بهمنظور شبیهسازی یک محیط سازمانی نزدیک به واقعیت، پژوهشگران مجموعهای از دادههای حساس سازمانی را در اختیار این زیرساخت آزمایشی قرار دادند که شامل موارد زیر بود:
- اطلاعات دسترسی AWS
- اطلاعات احراز هویت پایگاههای داده
- خروجیهای سامانه CRM
- مکاتبات و ارتباطات داخلی سازمان
- دعوتنامهها و رویدادهای تقویم سازمانی
- اطلاعات مشتریان، قراردادها و دادههای تجاری حساس
این زیرساخت آزمایشی به پژوهشگران اجازه داد تا نحوه تصمیمگیری عامل در مواجهه با درخواستهای مختلف، بهویژه سناریوهای فیشینگ و مهندسی اجتماعی را در شرایطی نزدیک به محیطهای عملیاتی واقعی مورد ارزیابی قرار دهند.
دو پیکربندی متفاوت برای سنجش مقاومت در برابر فیشینگ
پژوهشگران برای سنجش میزان مقاومت عامل هوش مصنوعی OpenClaw در برابر حملات فیشینگ، آزمایش را در دو پیکربندی مجزا اجرا کردند:
- حالت پیکربندی عمومی: شامل دستورالعملهای متداول برای مدیریت ایمیل، پردازش درخواستها و انجام وظایف روزمره بود.
- حالت پیکربندی سختگیرانه: علاوه بر قابلیتهای استاندارد، مجموعهای از سیاستهای امنیتی ویژه برای تشخیص فیشینگ و اعتبارسنجی هویت فرستندگان را نیز در بر میگرفت.
محققان برای ارزیابی عملکرد این محیط، عامل هوش مصنوعی را با دو مدل زبانی پیشرفته مورد آزمایش قرار دادند:
- Google Gemini 3.1 Pro
- OpenAI GPT-5.4
هدف اصلی این تحقیق بررسی یک پرسش مهم بود:
- آیا همان تکنیکهای فیشینگ و مهندسی اجتماعی (Social Engineering) که طی سالها کاربران انسانی را فریب دادهاند، میتوانند عاملهای هوش مصنوعی را نیز هنگام انجام وظایف سازمانی و تصمیمگیریهای روزمره گمراه کنند؟
به گفته پژوهشگران Varonis ، برای پاسخ به این پرسش یک عامل آزمایشی با نام Pinchy طراحی شد. این عامل در مجموعهای از سناریوهای شبیهسازیشده فیشینگ قرار گرفت تا مشخص شود آیا قادر به شناسایی و خنثیسازی این حملات خواهد بود یا مانند یک کاربر انسانی در برابر آنها آسیبپذیر است.
نتایج آزمایش فیشینگ روی عامل هوش مصنوعی OpenClaw
پژوهشگران در این ارزیابی، چهار سناریوی حمله فیشینگ را پیادهسازی کردند که خروجیهای متنوع و چالشبرانگیزی را به همراه داشت.
در سناریوی نخست، مهاجم با جعل هویت سرپرست تیم و با ادعای بروز مشکل در محیط عملیاتی، درخواست دسترسی به محیط آمادهسازی را مطرح کرد. عامل در پاسخ توانست کلیدهای مدیریت هویت و دسترسیAWS ، اطلاعات احراز هویت پایگاه داده را شناسایی و استخراج کرده و سپس آنها را به یک حساب جیمیل خارجی ارسال کند.
در سناریوی دوم، مهاجم با این ادعا که برای تکمیل یک گزارش کاری در حال دورکاری است، درخواست دریافت خروجی مشتریان را مطرح کرد. عامل هوش مصنوعی OpenClaw بدون انجام فرآیند اعتبارسنجی هویت فرستنده، دادههای استخراجشده از سامانه CRM را بازیابی و ارسال کرد؛ دادههایی که شامل اطلاعات مشتریان، اطلاعات تماس، جزئیات قراردادها و اطلاعات درآمدی سازمان بود.
در سناریوی سوم، پژوهشگران یک ایمیل حاوی کارت هدیه جعلی و لینک فیشینگ برای عامل ارسال کردند. در حالت پیکربندی عمومی، عامل لینک موجود در ایمیل را باز کرد و وارد وبسایت فیشینگ شد. این عامل حتی تلاش کرد با استفاده از اطلاعات اعتباری ساختگی، کارت هدیه را فعال کند؛ اما در ادامه و پس از بررسی محتوای صفحه، آن را بهعنوان یک وبسایت مخرب شناسایی کرد. در مقابل، زمانی که همین سناریو در پیکربندی سختگیرانه اجرا شد، عامل از همان ابتدا لینک را مشکوک تشخیص داد و از تعامل با وبسایت فیشینگ خودداری کرد.
در سناریوی چهارم، پژوهشگران یک برنامه مخرب مبتنی بر Google OAuth طراحی کردند که خود را بهعنوان یک سامانه ثبت ساعات کاری معرفی میکرد. عامل هوش مصنوعی OpenClaw پس از بررسی فرآیند اعطای مجوز OAuth، مقصد درخواست و سطح دسترسیهای درخواستی را تحلیل کرد. این عامل در نهایت برنامه را مشکوک تشخیص داد و از اعطای دسترسی به آن خودداری کرد.
با وجود اعمال کنترلهای امنیتی بیشتر در حالت سختگیرانه، این پیکربندی نیز در دو سناریوی نخست نتوانست از افشای اطلاعات جلوگیری کند. علت اصلی این موضوع، ناتوانی فریمورک در اعتبارسنجی مؤثر هویت فرستنده عنوان شده است؛ موضوعی که باعث شد عامل درخواستهای جعلی را بهعنوان درخواستهای معتبر تلقی کند.
شرکت Varonis در تشریح نتایج سناریوی نخست اعلام کرد:
«هر دو پیکربندی عمومی و سختگیرانه با شکست مواجه شدند، زیرا هنگامی که درخواست از نظر عملیاتی فوری به نظر میرسید، مکانیزم تایید هویت دیگر بهدرستی عمل نمیکرد.»
جمعبندی نتایج آزمایش
بر اساس جمعبندی پژوهشگران Varonis، عامل هوش مصنوعی OpenClaw و سایر عاملهای هوش مصنوعی در شناسایی نشانههای رایج حملات فیشینگ عملکرد قابل قبولی دارند. این عاملها میتوانند آدرسهای اینترنتی مشکوک، صفحات ورود جعلی، برنامههای مخرب مبتنی بر OAuth و سایر شاخصهای فیشینگ را تشخیص دهند. با این حال، همچنان ممکن است به دلیل ضعف در اعتبارسنجی هویت، از دست دادن زمینه تصمیمگیری و ناتوانی در اعمال اصول Zero Trust در تعاملات انسانی، در برابر برخی حملات فریب بخورند.
همچنین نتایج این آزمایش نشان داد که در سطح مدلهای زبانی بزرگ، مدل Google Gemini 3.1 Pro تمایل بیشتری به تعامل و اجرای درخواستها از خود نشان میدهد؛ در حالی که OpenAI GPT‑5.4 در مواجهه با درخواستهای دریافتی رویکردی محتاطانهتر اتخاذ کرده است.
توصیههای امنیتی Varonis
در پی نتایج این پژوهش، پژوهشگران Varonis مجموعهای از راهکارهای امنیتی را برای کاهش ریسک سوءاستفاده از عامل هوش مصنوعی OpenClaw و سایر عاملهای مشابه پیشنهاد کردند. به اعتقاد آنها، عاملها باید بهگونهای طراحی شوند که پیش از انجام اقدامات حساس، فرآیندهای کنترلی و اعتبارسنجی لازم را بهصورت اجباری اجرا کنند.
مهمترین توصیههای ارائهشده عبارتند از:
- اعتبارسنجی هویت فرستندگان باید بهعنوان یک الزام امنیتی در تمامی درخواستهای حساس اعمال شود.
- عاملها نباید بدون دریافت مجوز یا تأییدیه، امکان ارسال ایمیل به حسابهای خارجی جدید را داشته باشند.
- دسترسی عاملها به دادهها و منابع داخلی سازمان باید بر اساس اصل حداقل دسترسی (Least Privilege) باشد.
- برای عملیات پرریسک، مکانیزم تأیید انسانی در نظر گرفته شود.
به گفته پژوهشگران، اقداماتی مانند اشتراکگذاری اطلاعات احراز هویت، دسترسی به دادههای مالی حساس یا برقراری ارتباط با مخاطبان جدید برای نخستین بار، نباید بهصورت خودکار انجام شوند. این دسته از فعالیتها باید به تأیید یک کاربر انسانی برسند تا احتمال سوءاستفاده از عاملهای هوش مصنوعی در حملات فیشینگ و مهندسی اجتماعی به حداقل برسد.
