- “Varonis‑Bassiident” को लागि ओपन कडा सेटिङ्हरूको बावजुद फिसिङ
- मोडेलहरूले मालिसियस लिङ्कहरू/OAuth एपहरू अवरुद्ध गरे तर अनुरोधहरू आवश्यक महसुस गर्दा संवेदनशील पहुँच प्रदान गरे
- अनुसन्धानकर्ताहरू भन्छन् कि एआई एजेन्टहरूले कार्य गर्नु अघि पहिचान प्रमाणीकरण लागू गर्न आवश्यक छ
सुरक्षा अनुसन्धानकर्ताहरूले उही इमेलको परीक्षण गर्न पर्याप्त भएमा यो जाँच गर्नको लागि एक सी कानूनको परीक्षण गर्न पर्याप्त छ। फिसिङ घोटाला नियमित कर्मचारीहरूको लागि पर्छन् र यो सफल भयो। वा असफल भयो, तपाईंले यसलाई कसरी हेर्नुहुन्छ भन्ने आधारमा।
साइबरसुरक्षा अनुसन्धानकर्ताहरू Varonis ले पिन्ची डब गरिएको एउटा OpenClaw एजेन्ट सिर्जना गर्यो, र यसलाई Gmail इनबक्स, ब्राउजर उपकरणहरू, र Google Workspace APIs। तिनीहरूले नक्कली आन्तरिक कम्पनी डेटा, AWS प्रमाणहरू, डेटाबेस प्रमाणहरू, CRM निर्यातहरू, आन्तरिक सञ्चारहरू, र क्यालेन्डर निमन्त्रणाहरू प्रयोग गरी खाता भरे र त्यसपछि पिन्चीलाई आगमन इमेलहरू निगरानी र प्रशोधन गर्न भने। data-widget-type=”seasonal” class=”hawk-root”/>
वास्तविक जीवनको परिदृश्यहरू सम्भव भएसम्म विश्वसनीय रूपमा अनुकरण गर्न, तिनीहरूले एउटा मानक कन्फिगर र दुईवटा मानक कन्फिगरेसन मोडहरू बनाएका छन्। फिसिङ र अन्य इमेल-जनित घोटालाहरू बारे सचेत हुनुपर्छ।
Varonis ले दुईवटा मोडेलको परीक्षण गर्यो: Gemini 3.1 Pro, and begpt>
एआई कहाँ असफल भयो, र कहाँ राम्रो भयो
जब आक्रमणकारीले टोली नेतृत्वको प्रतिरूपण गरे र स्टेजिङ वातावरणमा पहुँचको लागि सोधे, पिन्चीले त्यसलाई अनुमति दिनुभयो। जब आक्रमणकारीले प्रस्तुतीकरणमा टाढैबाट काम गर्ने दाबी गर्दै ग्राहक निर्यातको अनुरोध गरे, पिन्चीले त्यसको पालना गरे।
तपाईलाई मन पर्न सक्छ
. साथै, जब तिनीहरूले टाइमशिट प्लेटफर्मको रूपमा खराब Google OAuth अनुप्रयोग तस्करी गर्ने प्रयास गरे पिन्चीले सही काम गर्यो र पहुँच प्रदान गरेन।
“जेनेरिक र कडा प्रोफाइलहरू असफल भए किनभने अनुरोध अपरिहार्य रूपमा देखा पर्दा प्रमाणिकरण चरण अझै ध्वस्त भयो,” Varonis ले पहिलो आक्रमण परिदृश्यको बारेमा भने।
निष्कर्ष यो हो कि AI एप राम्रो छ र राम्रो छ URL मा राम्रो छ। जब यसलाई पहिचान प्रमाणीकरण, वा फराकिलो सन्दर्भ चाहिन्छ।
वरोनिसले पनि गुगलको बाटोलाई थोरै छायाँ फ्याँक्यो, जेमिनीले “अन्तरक्रिया गर्न अझ बढी इच्छुकता” देखायो भने, GPT बढी सावधान थियो। अनुसन्धानकर्ताहरूले भने कि एजेन्टहरूलाई अगाडि बढ्नु अघि प्रेषकको पहिचान प्रमाणित गर्न बाध्य पारिनुपर्छ।
सबै बजेटका लागि उत्कृष्ट एन्टिभाइरस
Google समाचारमा TechRadar फलो गर्नुहोस् र हामीलाई रुचाइएको स्रोतको रूपमा थप्नुहोस्हाम्रो राय, विज्ञहरूका समाचारहरू प्राप्त गर्नका लागि। फिडहरू।