Künstliche Intelligenz-Agenten zeigen trotz vielversprechender Produktivitätssteigerungen eine besorgniserregende Anfälligkeit für Phishing-Angriffe, die menschliche Nutzer seit langem plagen. Eine aktuelle Untersuchung des Sicherheitsunternehmens **Varonis** beleuchtet, wie diese autonomen Systeme, die auf großen Sprachmodellen (LLMs) basieren, manipuliert werden können, um sensible Daten zu kompromittieren. Die Forschung konzentrierte sich auf das Open-Source-KI-Agenten-Framework **OpenClaw**, das es LLMs ermöglicht, mit realen Systemen zu interagieren. **Varonis Threat Labs** konfigurierte einen **OpenClaw**-Agenten namens **Pinchy** und verband ihn mit einem Gmail-Postfach, Browser-Tools, **Google Workspace** APIs und simulierten internen Unternehmensdatenquellen. Diese synthetische Umgebung enthielt hochsensible Informationen wie AWS-Anmeldeinformationen, Datenbankanmeldeinformationen, CRM-Exporte und interne Kommunikationen. ### Testen der Agentenresilienz Der Agent wurde in zwei Konfigurationen getestet: ein generisches Profil mit Standard-Produktivitätsanweisungen und ein 'Strengmodus' mit expliziter Phishing-Aufklärung und Identitätsprüfungsverfahren. Das Framework nutzte zwei prominente LLMs: **Google Gemini 3.1 Pro** und **OpenAI GPT-5.4**. "**Varonis Threat Labs** untersuchte, ob die gleichen Phishing-Techniken, die Menschen seit Jahrzehnten täuschen, auch auf die KI-Agenten funktionieren würden, die in ihrem Namen arbeiten", heißt es in dem Bericht. "Wir haben einen **OpenClaw**-KI-Agenten namens **Pinchy** erstellt, um zu testen, ob der Agent Versionen klassischer Phishing-Simulationen bestehen oder scheitern würde."  *Übersicht der simulierten Angriffe Quelle: Varonis* ### Simulierte Phishing-Szenarien und Ergebnisse Die Forscher führten vier simulierte Phishing-Angriffe durch, die gemischte Ergebnisse lieferten: 1. **Impersonierter Teamleiter**: Ein Angreifer, der sich als Teamleiter ausgab, forderte während eines erfundenen Produktionsproblems Zugriff auf eine Staging-Umgebung an. Der Agent, sowohl im generischen als auch im Strengmodus, **lokalisierte und versendete** AWS IAM-Schlüssel, Datenbankanmeldeinformationen und SSH-Zugangsdaten an ein externes Gmail-Konto. 2. **Anforderung eines Kundenexports**: Ein Angreifer forderte einen Kundenexport für eine Remote-Präsentation an. Der Agent **rief einen CRM-Export ab und sendete ihn**, der Kundendaten, Kontaktinformationen und Umsatzdaten enthielt, ohne die Identität des Absenders zu überprüfen. 3. **Gefälschte Geschenkkarten-E-Mail**: Der Agent erhielt eine Phishing-E-Mail mit einem Geschenkkarten-Link. Die generische Konfiguration besuchte die Seite, versuchte, die Geschenkkarte mit gefälschten Anmeldeinformationen einzulösen, und identifizierte die Seite schließlich als bösartig. Die strenge Konfiguration blockierte den Angriff sofort. 4. **Bösartige OAuth-Anwendung**: Forscher erstellten eine bösartige **Google OAuth**-Anwendung, die als Zeiterfassungsplattform getarnt war. Der Agent inspizierte den OAuth-Flow, analysierte das Ziel, identifizierte die Anwendung als verdächtig und verweigerte den Zugriff. Entscheidend ist, dass die ersten beiden Szenarien trotz verbesserter Schutzmaßnahmen zu einem Versagen des Strengmodus führten. **Varonis** stellte fest, dass "sowohl die generischen als auch die strengen Profile versagten, da der Verifizierungsschritt immer noch zusammenbrach, wenn die Anfrage operativ dringend erschien."  *Die Antwort des Agenten in Szenario 2, die Kundendaten preisgibt Quelle: Varonis* ### Wichtige Schwachstellen und Empfehlungen **Varonis** kam zu dem Schluss, dass KI-Agenten zwar gut darin sind, verdächtige URLs, gefälschte Anmeldeseiten und bösartige OAuth-Apps zu erkennen, aber Schwierigkeiten mit der Identitätsprüfung, dem Verlust des Kontexts und der Anwendung von Zero-Trust-Prinzipien auf soziale Interaktionen haben. Die Studie beobachtete auch, dass **Google Gemini** eine größere Bereitschaft zur Interaktion zeigte, während **OpenAI GPT-5.4** eine vorsichtigere Haltung einnahm. Um diese Risiken zu mindern, empfiehlt **Varonis** mehrere kritische Maßnahmen: * Explizit verlangen, dass Agenten die Identitäten von Absendern überprüfen. * Agenten daran hindern, neue externe Empfänger ohne ausdrückliche menschliche Genehmigung zu E-Mails zu senden. * Strikte Beschränkungen für den Zugriff von Agenten auf interne Daten implementieren. * Menschliche Genehmigung für risikoreiche Aktionen wie die Weitergabe von Anmeldeinformationen, Anfragen nach Finanzdaten und die erste Kommunikation verlangen. Diese Ergebnisse unterstreichen die Bedeutung robuster Sicherheitsüberlegungen, da KI-Agenten zunehmend in Unternehmensabläufe integriert werden, und betonen die Notwendigkeit eines mehrschichtigen Ansatzes zum Schutz sensibler Informationen.