Framework OpenClaw, conectado ao Gmail e a credenciais criadas na AWS, foi enganado por um e-mail de urgência em teste com agentes de IA. Nenhum modelo resistiu ao ataque
O Varonis Threat Labs simulou ataques de phishing contra agentes de IA conectados a e-mails e bases de dados corporativos reais em junho de 2026. Resultado: todos os modelos testados entregaram credenciais, exportaram CRMs ou acessaram sites fraudulentos quando o pedido pareceu urgente
O experimento
O Varonis Threat Labs publicou em junho de 2026 um relatório detalhando simulações de phishing conduzidas contra o OpenClaw, framework open source que permite a modelos de linguagem interagir com sistemas reais e executar ações de forma autônoma, exatamente o tipo de tecnologia que empresas de todo o mundo estão adotando para automatizar o processamento de e-mails, rotinas administrativas e acesso a dados corporativos.
Os pesquisadores criaram um agente fictício chamado “Pinchy” e o conectaram a uma caixa de entrada Gmail, ferramentas de navegação e APIs do Google Workspace, populando o ambiente com dados corporativos sintéticos, mas realistas: credenciais AWS, credenciais de banco de dados, exportações de CRM, comunicações internas e convites de calendário.
Duas configurações foram testadas: uma genérica, com instruções padrão de produtividade, e uma em modo estrito, com instruções específicas de conscientização sobre phishing e procedimentos de verificação de identidade. Os modelos avaliados foram o Google Gemini 3.1 Pro e o OpenAI GPT-5.4.
Quatro ataques, dois desastres
Os pesquisadores simularam quatro cenários clássicos de phishing. Os dois primeiros expõem o ponto cego mais crítico dos agentes autônomos: a incapacidade de verificar identidade quando a solicitação parece urgente e operacionalmente legítima.
No primeiro cenário, um atacante se passou por um líder de equipe e pediu acesso ao ambiente de homologação alegando uma falha em produção. O Pinchy buscou as credenciais na caixa de entrada, localizou-as e as encaminhou em texto puro ao atacante, incluindo chaves de acesso AWS IAM, strings de conexão de banco de dados e credenciais SSH com detalhes do host interno.
No segundo, usando tom casual e rotineiro, o atacante pediu uma exportação semanal de clientes alegando estar trabalhando remotamente. O agente entregou imediatamente um CRM completo com nomes, dados de contato e US$ 1,28 milhão em receita recorrente mensal de 247 clientes corporativos, ignorando o princípio zero trust de verificação de identidade do remetente.
Nos outros dois cenários, o desempenho foi oposto. Quando os pesquisadores enviaram um e-mail de cartão-presente com link de phishing, o modo estrito bloqueou imediatamente o acesso, enquanto o modo genérico acessou o site fraudulento sem perceber. Já o aplicativo Google OAuth malicioso disfarçado de plataforma de ponto eletrônico foi identificado como suspeito, e o acesso, negado.
O padrão de falha
O padrão é claro: agentes de IA são eficazes na detecção de URLs suspeitas e aplicativos OAuth maliciosos, ameaças com assinaturas técnicas identificáveis. Falham quando o ataque depende de verificação de identidade e julgamento contextual, exatamente onde a engenharia social mais ataca.
O enquadramento rotineiro transformou o compartilhamento de credenciais e exportações de clientes em algo que o agente tratou como parte de suas funções normais.
A urgência operacional foi suficiente para colapsar até o modo estrito.
A Varonis destacou ainda que o Gemini demonstrou maior disposição para interagir, enquanto o GPT-5.4 foi mais cauteloso. Ambos, porém, falharam quando a solicitação parecia urgente.
O que os pesquisadores recomendam
A Varonis listou medidas estruturais para mitigar o risco em ambientes com agentes autônomos: exigir verificação explícita de identidade do remetente antes de qualquer ação sensível; bloquear o envio de dados para contatos externos sem aprovação humana prévia; limitar o escopo de acesso interno dos agentes ao mínimo necessário; e tornar obrigatória a aprovação humana para ações de alto risco, como envio de credenciais, dados financeiros ou comunicação com novos contatos externos.
A empresa anunciou que continuará publicando pesquisas sobre segurança em agentes autônomos ao longo de 2026, incluindo abuso entre tenants e defesas na camada de prompt.
O relatório foi coberto por BleepingComputer, TechRadar, The Next Web e CSO Online como um dos experimentos mais relevantes do ano no campo de segurança de agentes autônomos.
Conclusão
O experimento da Varonis não é uma curiosidade acadêmica. É um sinal de alerta para qualquer organização que já deployou, ou planeja deployar, agentes de IA com acesso a sistemas reais.
A premissa que sustenta a adoção acelerada desses agentes, a de que são mais confiáveis e menos suscetíveis a erros humanos do que colaboradores humanos, precisa ser revisada com urgência. Um agente autônomo conectado a e-mails corporativos, credenciais de nuvem e bases de clientes não é uma ferramenta de segurança. É um funcionário sem bom senso social com acesso irrestrito ao cofre.
A engenharia social não explora bugs de software. Explora confiança, urgência e a disposição de quem quer ser útil. E isso, como o Pinchy demonstrou, é uma vulnerabilidade que nenhum modo estrito resolve sozinho.
No Brasil, onde a adoção de agentes de IA cresce aceleradamente em fintechs, escritórios jurídicos e grandes corporações, a lacuna regulatória sobre o uso seguro desses sistemas é evidente. A LGPD responsabiliza o controlador pelos dados tratados em seu nome. Um agente que vaza um CRM por e-mail mal escrito é, juridicamente, um incidente de segurança. E operacionalmente, um desastre anunciado.
Sobre a Varonis Threat Labs
A Varonis Threat Labs é a equipe de pesquisa, caça a ameaças e inteligência em segurança da Varonis. O grupo investiga vulnerabilidades, técnicas de ataque e riscos emergentes que afetam dados corporativos, ambientes em nuvem, aplicações SaaS, e-mail, identidade e sistemas baseados em IA. Suas pesquisas buscam antecipar ameaças reais, orientar equipes de segurança e apoiar organizações na redução da exposição de dados sensíveis antes que incidentes causem danos.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
