- VaronisのOpenCLawエージェント「Pinchy」、厳格な設定にもかかわらずID詐称フィッシングに騙される
- 悪意あるリンクやOAuthアプリはブロックしたものの、緊急性を装ったリクエストには機密アクセスを許可
- 研究者、AIエージェントには行動前に強制的な本人確認が必要と指摘
セキュリティ研究者たちが、OpenCLawのメールエージェントが一般の従業員と同様のフィッシング詐欺に騙されるほど無防備かどうかを検証したところ、その懸念は的中しました。もっとも、見方によっては「失敗した」とも言えますが。
サイバーセキュリティ研究者のVaronisは、「Pinchy」と名付けたOpenCLawエージェントを作成し、Gmailの受信トレイ、ブラウザツール、Google Workspace APIに接続しました。アカウントには社内の偽データ、AWSの認証情報、データベースの認証情報、CRMのエクスポートデータ、社内連絡、カレンダーの招待などを用意したうえで、受信メールの監視・処理をPinchyに指示しました。
できるだけ現実に近いシナリオを再現するため、標準的な業務指示を与えた「汎用モード」と、フィッシングなどのメール詐欺を認識するよう設定した「厳格モード」の2種類の構成を用意しました。
Varonisはテストに「Gemini 3.1 Pro」と「GPT-5.4」の2モデルを使用しましたが、結果は一長一短でした。
AIが失敗した点と成功した点
攻撃者がチームリーダーになりすましてステージング環境へのアクセスを要求すると、Pinchyはこれを許可しました。また、プレゼン資料の作成のためリモートで作業していると称した攻撃者が顧客データのエクスポートを求めた際も、Pinchyは要求に応じてしまいました。
一方、フィッシングリンクを含む偽のギフトカードメールを送りつけると、エージェントは該当ページを悪意あるものと判断してブロックしました。また、勤怠管理プラットフォームに見せかけた悪意あるGoogle OAuthアプリケーションの承認を試みた際も、Pinchyは適切に対応してアクセスを拒否しました。
Varonisは最初の攻撃シナリオについて、「汎用プロファイル・厳格プロファイルともに、業務上の緊急性があるように見えたリクエストに対しては本人確認のステップが機能しなかったため、どちらも失敗した」と述べています。
今回の結論として、AIは不審なURLや悪意あるOAuthアプリの検出は得意である一方、本人確認や広い文脈の把握が必要な場面では対応が困難であることが示されました。
Varonisはさらに、Googleへの批判とも取れる形で、GeminiはGPTに比べて「より積極的に応じようとする傾向」が見られたと指摘しており、GPTのほうが慎重であったと評価しています。研究者たちは、エージェントが行動を起こす前に送信者の本人確認を強制する仕組みが必要だと述べています。
