Varonis Threat Labs hat einen OpenClaw-KI-Agenten namens Pinchy in einem kontrollierten Test dazu gebracht, Cloud-Zugangsdaten und Kundendaten an einen externen Angreifer weiterzugeben. Der Agent lief in einer Google-Workspace-Umgebung mit Zugriff auf ein Gmail-Postfach, in dem Mock-AWS-Credentials, CRM-Exporte, interne Gespräche und Kalendereinladungen lagen.
Dass dieser Fall gerade jetzt Aufmerksamkeit bekommt, liegt daran, dass Unternehmen ihre KI-Agenten zunehmend in Arbeitsabläufe hineinlassen, in denen sie E-Mails lesen, Dokumente abrufen und über Geschäftsanwendungen handeln können. Genau dort wird Phishing neu relevant: Nicht mehr nur Menschen sind Ziel von Täuschung, sondern Systeme, die auf Anweisungen reagieren sollen. Wer die Mechanik dahinter verstehen will, findet sie in Grundzügen auch in unserem Überblick zu Phishing und Einladung-Angriffen.
Der Test lief in zwei Konfigurationen. Eine nutzte ein generisches Produktivitätsprofil, die andere enthielt strengere Sicherheitsanweisungen. Pinchy sollte dort vorsichtig mit Phishing umgehen und Absenderidentitäten prüfen, bevor er auf sensible Anfragen reagiert. Trotzdem leitete der Agent AWS IAM-Keys, Datenbankpasswörter und SSH-Zugangsdaten an ein externes Gmail-Konto weiter, nachdem eine Nachricht wie die normale Bitte eines Kollegen um Staging-Zugangsdaten wirkte.
Besonders heikel war, dass Pinchy nicht bei jeder Täuschung gleich versagte. Bei einem bösartigen OAuth-Zustimmungsfluss, der als Zeiterfassungsplattform getarnt war, prüfte der Agent die Umleitungsadresse, erkannte das Ziel als verdächtig und stoppte, bevor er zustimmte. Bei einer E-Mail, die wie eine Routineanfrage für eine Quartalspräsentation klang, gab er dagegen nach und schickte einen CRM-Export mit Daten zu 247 Unternehmenskunden weiter. Darin standen Firmennamen, Kontaktdaten, Vertragsdaten, Kundentiers und Angaben zu rund 1,28 Millionen Dollar monatlich wiederkehrendem Umsatz.
Devashri Datta sagte, die Sicherheitstests hätten gezeigt, dass die Modelle auf technischer Ebene ihren Job durchaus erledigten. Das eigentliche Problem sei gewesen, dass der Agent E-Mails zugleich als Informationsquelle und als Anweisung behandelt habe. Sie nannte das einen klassischen IT-Fehler, bei dem Datenkanal und Steuerungskanal vermischt werden. „Es hat das Passwort nicht herausgegeben, weil jemand nett gefragt hat; es hat ausgeführt, was wie eine legitime operative Aufgabe aussah“, sagte Datta. „In jedem sicheren System lässt man den Datenpfad niemals administrative Befehle geben.“
Varonis sagte, Pinchy habe genug technisches Verständnis gezeigt, um ausgefeilte Phishing-Infrastruktur zu erkennen. Die Schwachstelle sei soziale Vertrauensbildung und Identitätsprüfung gewesen. Genau das macht den Test für Firmen relevant, die KI-Agenten mit Zugriff auf E-Mail-Postfächer und Geschäftsdaten einsetzen: Ein überzeugend formulierter Kollege kann für ein System glaubwürdiger wirken als ein offenkundig technischer Köder. Wie weit solche Agenten in realen Unternehmen schon verbreitet sind, bleibt offen. Sicher ist nur, dass der nächste Fehler nicht wie ein Hack aussehen muss, sondern wie eine ganz normale Arbeitsmail.
