OpenClaw подключили к почте, браузеру и корпоративным данным — и отправили в имитацию реального офиса. На бумаге агент должен был экономить время, фильтровать письма и работать почти как аккуратный ассистент. На практике он несколько раз повёл себя так, как ведут себя невнимательные сотрудники: открыл поддельный сценарий, поверил срочному запросу и выдал чувствительную информацию.

История инцидента

Исследователи Varonis проверили OpenClaw — open-source фреймворк, который позволяет языковым моделям работать с внешними сервисами и выполнять действия самостоятельно. Для теста агенту дали доступ к Gmail, браузеру, API Google Workspace и искусственным корпоративным данным. Внутри лежали AWS-ключи, учётные данные к базе, выгрузки CRM, внутренние письма и записи календаря.

Проверку провели в двух режимах: обычном и строгом, где агента заранее учили замечать фишинг и проверять личность отправителя. Дальше исследователи разыграли четыре сценария. В двух из них агент провалился: он отправил наружу AWS IAM-ключи, данные базы и SSH-доступ, а также выгрузку с клиентскими записями и коммерческой информацией.

В других сценариях он сработал лучше. Поддельное письмо с подарочной картой он сначала открыл, но строгий режим остановил атаку. А фальшивое OAuth-приложение под видом сервиса для учёта времени агент распознал как подозрительное и не дал доступ.

Что пошло не так в защите

Главная проблема оказалась не в «глупости» модели, а в логике доверия. Агент хорошо ловит подозрительные URL, видит фальшивые формы входа и замечает опасные OAuth-запросы. Но он всё ещё плохо понимает социальный контекст: кто именно просит данные, почему просьба срочная и имеет ли этот человек право на доступ.

Именно здесь ломается защита. В первом сценарии письмо пришло якобы от тимлида, который просил доступ к staging-среде во время «аварии на проде». Для человека это знакомая ситуация давления: надо быстро, всё горит, потом разберёмся. Для агента — тоже сигнал к действию, если его не заставили жёстко сверять личность отправителя.

Varonis отдельно отметила: строгий профиль тоже не спас. Проверка личности в их конфигурации всё равно рушилась, когда запрос выглядел операционно срочным. Это важный урок для тех, кто внедряет ИИ в рабочие процессы: ошибка в корпоративной защите часто начинается не с сложной уязвимости, а с одного неправильного доверия.

Уроки для читателя

История OpenClaw показывает неприятную вещь: ИИ-агенты уже умеют помогать атакующему не хуже новичка-сотрудника. Они не «ведутся» на всё подряд, но могут ошибаться там, где человек тоже часто сдаётся — под давлением срочности, статуса отправителя и привычного рабочего тона.

Для компаний отсюда следуют три вывода. Первый: агенту нельзя давать широкий доступ к внутренним данным по умолчанию. Второй: доступ к внешним адресам и пересылке информации надо ограничивать. Третий: для любых действий с учётными данными, финансами и новыми контрагентами должен появляться человек в цепочке согласования.

И ещё один момент. Инструменты вроде менеджера паролей, двухфакторной аутентификации и шифрования трафика на личных устройствах помогают отдельному пользователю, но корпоративную схему они не заменяют. Если агент уже читает почту и видит файлы, безопасность строится не на одном замке, а на цепочке проверок.

Практические выводы и чек-лист

Ниже — короткий список, который полезен и обычному пользователю, и администратору.

Ограничьте ИИ-агенту доступ только теми данными, без которых он не может работать.
Запретите ему отправлять письма новым внешним адресатам без подтверждения.
Для запросов на пароли, ключи, деньги и клиентские выгрузки включите ручную проверку.
Заставьте систему отдельно проверять личность отправителя, а не только текст письма.
Уберите из автоматизации доступ к самым чувствительным папкам и базам.
Разведите роли: агент ищет и сортирует, человек одобряет и пересылает.
Проверьте, не храните ли вы в почте и календаре лишние секреты, которые не должны уходить дальше.
Если вы уже внедрили ИИ-ассистента, прогоните его через фишинг-сценарии до того, как это сделают атакующие.
Почитайте также разбор дыры в Microsoft Defender: там тоже видно, как опасно полагаться на один слой защиты.