Agjenti OpenClaw AI mashtruar në sulme feshing, me të dhënat e përdoruesit të komprometuara
Agjentët Al janë po aq naivë sa njerëzit, tregon raporti
Kërkuesit e sigurimit testuan një agjent e-mail OpenClaw për të parë nëse është aq naiv sa të bjerë për të njëjtën mashtrim të punonjësve të rregullt dhe ia doli mbanë. Ose dështova, në varësi të asaj se si e shikon.
Kërkuesit e sigurisë kompjuterike Varonis krijuan një agjent OpenClaw të quajtur Pikeni, dhe e lidhën atë me një Gmail në kuti, mjete shfletuesi dhe Google Wopspace APIs. Ata e popullarizuan llogarinë me të dhëna të brendshme fallco, kredenciale AWS, kredenciale të të dhënave, eksporte CRM, komunikime të brendshme dhe ftesa të kalendarit dhe më pas i thanë Pecky-t të mbikqyrnin dhe të përpunonin e-mailet që vinin.
Për të simuluar skenarët e jetës reale sa më shumë që të jetë e mundur, ata krijuan dy konfigurime: një të përgjithshme me udhëzime standarde të produktivitetit, dhe një mënyrë strikte që duhet të jetë e vetëdijshme për feshing dhe mashtrime të tjera të lindura me email.
Varonis testoi dy modele: Gemini 3.1 Pro, dhe GPT-5.4, dhe rezultatet duket të jenë një çantë e përzier.
Ku IA dështoi, dhe ku bëri mirë
Kur sulmuesi mishëroi një skuadër dhe kërkoi leje për të hyrë në mjedisin e skenës, Peini ia dha. Kur sulmuesi kërkoi të eksportonte një klient, duke pretenduar se punonte nga larg për një prezantim, Peini u bind.
Megjithatë, kur e dërguan agjentin një e-mail të rremë dhuratash me një lidhje të gjallë, ai e identifikoi faqen si keqdashëse dhe e bllokoi. Gjithashtu, kur ata u përpoqën të kontrabandonin një aplikim dashakeq të Google OAuth si një platformë të kohës Peinki bëri gjënë e duhur dhe nuk dha akses.
Si profilet e përgjithshëm, ashtu edhe ato strikte dështuan sepse hapi i verifikimit u shemb ende kur kërkesa u duk në mënyrë operacionale urgjente, tha Varonis rreth skenarit të parë të sulmit.
Firmosuni në buletinin Pro TechRadar për të marrë të gjitha lajmet, opinionin, veçoritë dhe drejtimin e biznesit tuaj duhet të ketë sukses!
Përfundimi është se AI është i mirë në përcaktimin e URLve të dyshimta dhe aplikacioneve dashakeqe OAuth, por dështon kur ka nevojë për verifikim identiteti, ose kontekst më të gjerë.
Varonis gjithashtu hodhi një hije të vogël të Google-it, duke thënë se Gemini tregoi gatishmëri më të madhe për të bashkëvepruar me të, ndërsa GPT ishte më i kujdesshëm. Studjuesit thanë se agjentët duhet të detyrohen të verifikojnë identitetet e dërguesit përpara se të vazhdojnë.
Lexo drejtimin e plotë të antivirusit 1. Përgjithësisht, më i miri për familjet: Norton 360 me Life Lock 3. Më i miri për telefonin: MekAfee Mobile Security
Ndiqni TechRadar në Google News dhe shtoni ne si një burim të preferuar për të marrë lajmet tona eksperte, rishikimet dhe opinionin në ushqimin tuaj.
Sead është një gazetar me përvojë i pavarur me qendër në Sarajevë, Bosnje dhe Herzegovinë. Ai shkruan për IT (re, IoT, 5G, VPN) dhe sigurinë në internet (ansomware, shkelje të të dhënave, ligje dhe rregulla). Në karrierën e tij, që shtrihet më shumë se një dekadë, ai shkruan për degë të shumta të medias, duke përfshirë Ballkanin e Al Jazerës. Ai kishte gjithashtu disa module mbi përmbajtjen e të shkruarit për Komunikimin Ripërfaqësues.
Duhet të konfirmosh emrin e ekranit para se të komentosh
Ju lutemi të dilni dhe pastaj të hyni përsëri, pastaj do t’ju kërkohet të shkruani emrin tuaj të ekranit.