عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد وهن Agentjacking Attacks

Agentjacking Attacks

بواسطة Mezo في وهن
ترجمة الى:

كشف باحثو الأمن السيبراني عن أسلوب هجوم جديد يُعرف باسم "اختطاف الوكلاء"، وهو أسلوب قادر على التلاعب بمساعدي البرمجة بالذكاء الاصطناعي لتنفيذ التعليمات البرمجية التي يتحكم بها المهاجم على أنظمة المطورين.

يستغل الهجوم تقرير خطأ مزيفًا يتم إنشاؤه عبر منصة Sentry، وهي منصة مفتوحة المصدر واسعة الانتشار لتتبع الأخطاء ومراقبة الأداء. ووفقًا للباحثين، ينبع هذا الخلل من ضعف معماري أساسي يتعلق بآلية استيعاب الأحداث في Sentry وتكاملها مع أنظمة الذكاء الاصطناعي عبر بروتوكول سياق النموذج (MCP).

نظرًا لأن نظام Sentry يقبل بيانات الأحداث من أي شخص يمتلك اسم مصدر بيانات صالحًا، يمكن للمهاجمين حقن محتوى ضار في تقارير الأخطاء. وعندما تسترجع برامج الذكاء الاصطناعي المساعدة في البرمجة، مثل Claude Code أو Cursor، هذه التقارير لاحقًا عبر خادم Sentry MCP، قد يُفسَّر المحتوى المحقون على أنه إرشادات مشروعة لحل المشكلات.

الخلل المعماري وراء الهجوم

يكمن جوهر اختراق الوكلاء في مشكلة الثقة التي تنشأ عن الخدمات الخارجية المتصلة بـ MCP. إذ يقوم خادم Sentry MCP بإعادة بيانات الأحداث إلى وكلاء الذكاء الاصطناعي على أنها مخرجات موثوقة، حتى عندما تكون البيانات واردة من مصادر غير موثقة.

ونتيجةً لذلك، لا تستطيع برامج الذكاء الاصطناعي تحديد ما إذا كان الخطأ ناتجًا عن عطل حقيقي في التطبيق أم أنه مُدخَل عمدًا من قِبل جهة خبيثة. هذا العجز عن التمييز بين المحتوى الموثوق والمدخلات الخبيثة يُتيح المجال لتنفيذ تعليمات برمجية عشوائية كلما قام البرنامج بمعالجة التعليمات المُقدمة واتباعها.

يمكن أن يؤدي الاختراق الناجح إلى كشف معلومات بالغة الحساسية، بما في ذلك متغيرات البيئة، وبيانات اعتماد Git، وعناوين URL للمستودعات الخاصة، وبيانات هوية المطورين. والجدير بالذكر أن هذا الهجوم لا يتطلب حملات تصيد احتيالي، أو نشر برامج ضارة، أو اختراق مسبق للبنية التحتية المستهدفة.

كيف تعمل سلسلة هجمات اختطاف العملاء

يتطور الهجوم عبر سلسلة من المراحل المنسقة بعناية:

  • يقوم أحد الجهات الفاعلة في التهديد بتحديد Sentry DSN الخاص بالمنظمة المستهدفة، وهو عبارة عن بيانات اعتماد عامة للكتابة فقط يتم تضمينها عادةً داخل مواقع الويب.
  • باستخدام DSN المكشوف، يتم إرسال حدث خطأ خبيث إلى نقطة نهاية استيعاب Sentry من خلال طلب POST.
  • يحتوي الحدث المُضاف على محتوى ماركداون مصمم خصيصًا ومضمن داخل حقول الرسائل وأسماء مفاتيح السياق.
  • عندما يسترجع خادم Sentry MCP الحدث، يتم عرض المحتوى الضار كمعلومات منظمة تشبه بصريًا التوجيهات المشروعة التي تم إنشاؤها بواسطة Sentry.
  • يقوم المطور بعد ذلك بتوجيه مساعد برمجة يعمل بالذكاء الاصطناعي للتحقيق في مشاكل Sentry التي لم يتم حلها أو حلها.
  • يقوم وكيل الذكاء الاصطناعي بالاستعلام من Sentry من خلال MCP ويتلقى الحدث الذي يتحكم فيه المهاجم.
  • يتم التعامل مع التعليمات الخبيثة على أنها خطوات معالجة موثوقة، مما يؤدي إلى قيام وكيل الذكاء الاصطناعي بتنفيذ التعليمات البرمجية التي قدمها المهاجم بصلاحيات المطور.

لماذا الهجوم فعال للغاية

من أكثر جوانب اختراق نظام العميل إثارة للقلق أن المهاجمين لا يتفاعلون مباشرة مع بنية الضحية التحتية. بدلاً من ذلك، تُخفى التعليمات الخبيثة ضمن ما يبدو أنه تقرير خطأ عادي.

عندما يطلب المطورون المساعدة من وكلاء البرمجة المدعومين بالذكاء الاصطناعي، يتم تفسير رسالة الخطأ المُعدّلة على أنها توصية حل مشروعة. ثم يقوم وكيل الذكاء الاصطناعي بتنفيذ التعليمات على جهاز المطور باستخدام صلاحياته الخاصة.

يُعدّ اختراق نظام الذكاء الاصطناعي خطيرًا للغاية لأنه يستهدف العلاقة الموثوقة بين المطورين ومساعدي الذكاء الاصطناعي. صُممت تقنية حقن لغة Markdown ببراعة فائقة بحيث لا يستطيع مساعد الذكاء الاصطناعي التمييز بين المحتوى الضار والتوجيهات الأصلية التي يُصدرها نظام Sentry.

انتشار واسع النطاق واستجابة البائعين

وبحسب ما ورد، حدد الباحثون ما لا يقل عن 2388 منظمة لديها بيانات تعريف نظام Sentry صالحة وقابلة للحقن، مما يسلط الضوء على الحجم المحتمل للمشكلة.

أقرت شركة سينتري بالنتائج، لكنها خلصت، بحسب التقارير، إلى أن الحل التقني الكامل غير ممكن. وبدلاً من ذلك، طبقت الشركة آلية عالمية لفلترة المحتوى تهدف إلى حظر نمط حمولة معروف ومحدد مرتبط بالهجوم.

أصبحت وكلاء الذكاء الاصطناعي سطح الهجوم الجديد

يُظهر ظهور تقنية اختطاف الوكلاء كيف أصبحت برامج الذكاء الاصطناعي المساعدة في البرمجة سريعًا سطحًا جديدًا وجذابًا للهجمات. فبدلًا من استهداف ضوابط الأمان التقليدية، يمكن للمهاجمين استغلال تدفقات البيانات الموثوقة التي تكشف عنها المؤسسات علنًا.

يستطيع هذا الهجوم تجاوز العديد من تقنيات الأمان التقليدية، بما في ذلك حلول الكشف والاستجابة لنقاط النهاية (EDR)، وجدران حماية تطبيقات الويب (WAF)، وأنظمة إدارة الهوية والوصول (IAM)، وشبكات VPN، وحماية Cloudflare، وجدران الحماية التقليدية. ولأن كل إجراء يتم تنفيذه خلال سلسلة الهجوم يبدو مصرحًا به ومشروعًا، فقد لا يكون هناك نشاط خبيث واضح يمكن لأدوات الأمان اكتشافه.

مع تسارع المؤسسات في تبني تطوير البرمجيات بمساعدة الذكاء الاصطناعي، فإن اختراق الوكلاء يمثل تذكيراً قوياً بأن الثقة الموضوعة في وكلاء الذكاء الاصطناعي يمكن أن تصبح في حد ذاتها ثغرة أمنية عندما يتم التعامل مع مصادر البيانات الخارجية على أنها جديرة بالثقة بطبيعتها.

 

جار التحميل...