Des chercheurs en cybersécurité ont testé la vulnérabilité d’agents d’IA à des techniques d’hameçonnage. Ils ont utilisé le framework OpenClaw, conçu pour permettre à des modèles de langage d’interagir avec des systèmes réels.
L’équipe de la société Varonis a configuré un agent nommé « Pinchy ». Elle l’a connecté à une boîte Gmail, à des outils de navigation et à des données d’entreprise fictives mais sensibles. Ces données comprenaient des identifiants AWS, des accès à des bases de données et des exportations d’un CRM.
Deux modes de fonctionnement ont été évalués. Un profil générique exécutait des instructions standards de productivité. Un mode strict intégrait des procédures spécifiques de sensibilisation au phishing et de vérification d’identité. Les tests ont impliqué les modèles Google Gemini 3.1 Pro et OpenAI GPT-5.4.
Quatre simulations d’attaque ont été menées.
- Un attaquant s’est fait passer pour un responsable technique et a demandé un accès urgent à un environnement de préproduction. L’agent a localisé puis envoyé par email des clés IAM AWS, des identifiants de base de données et des détails d’accès SSH à un compte Gmail externe.
- Sous prétexte de préparer une présentation, l’attaquant a demandé un export client. L’agent a récupéré et transmis un export du CRM sans vérifier l’identité de l’expéditeur.
- L’agent a reçu un email frauduleux avec un lien pour une carte cadeau. En configuration générique, il a visité le site malveillant et a tenté d’utiliser des identifiants fictifs avant de finalement identifier la page comme dangereuse. Le mode strict a bloqué l’attaque immédiatement.
- Les chercheurs ont créé une application Google OAuth malveillante déguisée en plateforme de gestion des temps. L’agent a inspecté le flux d’autorisation, analysé la destination, identifié l’application comme suspecte et a refusé d’accorder l’accès.
Pour les deux premiers scénarios, le mode strict a également échoué. Le framework n’a pas validé l’identité de l’expéditeur. Les chercheurs expliquent que l’étape de vérification a été court-circuitée car la demande semblait opérationnellement urgente.
Le rapport conclut que les agents d’IA peuvent détecter des URL suspectes, repérer des pages de connexion falsifiées ou identifier des applications OAuth malveillantes. Cependant, ils échouent parfois à cause d’une vérification d’identité insuffisante, d’une perte de contexte ou d’une incapacité à appliquer les principes de confiance zéro aux interactions sociales.
Le modèle Gemini s’est montré plus enclin à interagir, tandis que GPT-5.4 a adopté une posture plus prudente.
Varonis recommande d’imposer explicitement aux agents de vérifier l’identité des expéditeurs. Ils devraient être empêchés d’envoyer des emails à de nouveaux destinataires externes sans approbation préalable. Leur accès aux données internes doit être limité. Pour les actions à haut risque, comme le partage d’identifiants ou les demandes de données financières, une validation humaine doit être requise.