Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus Agentide röövimise rünnakud

Agentide röövimise rünnakud

Aastaks Mezo aastal Haavatavus
Tõlgi:

Küberjulgeolekuuurijad on avastanud uue rünnakutehnika, mida tuntakse kui Agentjacking – meetodit, mis on võimeline manipuleerima tehisintellekti kodeerimisassistentidega, et nad käivitaksid ründaja kontrollitud koodi arendaja süsteemides.

Rünnak kasutab Sentry, laialdaselt kasutatava avatud lähtekoodiga veajälgimise ja jõudluse jälgimise platvormi, loodud võltsitud veateadet. Teadlaste sõnul tuleneb haavatavus Sentry sündmuste sisestamise mehhanismi ja selle integreerimise tehisintellekti süsteemidega Model Context Protocol (MCP) kaudu põhimõttelisest arhitektuurilisest nõrkusest.

Kuna Sentry aktsepteerib suvalisi sündmuste andmeid kõigilt, kellel on kehtiv andmeallika nimi (DSN), saavad ründajad veateatesse pahatahtlikku sisu sisestada. Kui tehisintellekti kodeerimisassistendid, näiteks Claude Code või Cursor, need aruanded hiljem Sentry MCP serveri kaudu kätte saavad, võidakse sisestatud sisu tõlgendada õigustatud tõrkeotsingu juhistena.

Rünnaku taga peituv arhitektuuriviga

Agentjackingi tuumaks on usaldusprobleem, mille tekitavad MCP-ga ühendatud välised teenused. Sentry MCP server tagastab tehisintellekti agentidele sündmuste andmed usaldusväärse väljundina, isegi kui andmed pärinevad kontrollimata allikatest.

Seetõttu ei suuda tehisintellekti kodeerimisagendid usaldusväärselt kindlaks teha, kas veasündmuse tekitas ehtne rakenduse tõrge või oli selle tahtlikult süstinud ohutegija. See suutmatus eristada usaldusväärset sisu pahatahtlikust sisendist loob tee suvalise koodi käivitamiseks iga kord, kui agent töötleb ja järgib antud juhiseid.

Edukas rünnak võib paljastada väga tundlikku teavet, sealhulgas keskkonnamuutujaid, Giti identiteediandmeid, privaatsete hoidlate URL-e ja arendaja identiteediandmeid. Märkimisväärne on see, et rünnak ei nõua andmepüügikampaaniaid, pahavara juurutamist ega sihtmärgiks oleva infrastruktuuri eelnevat ohtu seadmist.

Kuidas agentide röövimise rünnakuahel töötab

Rünnak toimub hoolikalt läbimõeldud etappide kaudu:

  • Ohu tegija tuvastab sihtorganisatsiooni Sentry DSN-i, mis on avalik kirjutuskaitstud mandaat, mida tavaliselt veebisaitidele manustatakse.
  • Kasutades avalikustatud DSN-i, edastatakse Sentry andmesaatmisotsapunkti POST-päringu kaudu pahatahtlik veasündmus.
  • Süstitud sündmus sisaldab spetsiaalselt loodud Markdown-sisu, mis on manustatud sõnumiväljadesse ja kontekstivõtmete nimedesse.
  • Kui Sentry MCP server sündmuse kätte saab, renderdatakse pahatahtlik sisu struktureeritud teabena, mis visuaalselt sarnaneb Sentry loodud õigustatud juhistega.
  • Seejärel annab arendaja tehisintellektiga kodeerimisassistendile korralduse uurida või lahendada lahendamata Sentry probleeme.
  • Tehisintellekti agent esitab MCP kaudu päringu Sentryle ja saab ründaja juhitud sündmuse.
  • Pahatahtlikke juhiseid käsitletakse usaldusväärsete parandusmeetmetena, mis ajendavad tehisintellekti agenti ründaja edastatud koodi arendaja õigustega käivitama.

Miks rünnak on nii tõhus

Üks Agentjackingi kõige murettekitavamaid aspekte on see, et ründajad ei suhtle kunagi otseselt ohvri infrastruktuuriga. Selle asemel on pahatahtlikud juhised peidetud tavalise veateate sisse.

Kui arendajad paluvad abi oma tehisintellekti kodeerimisagentidelt, tõlgendatakse manipuleeritud veateadet õigustatud lahendussoovitusena. Seejärel täidab tehisintellekti agent arendaja arvutis juhiseid, kasutades arendaja enda õigusi.

Agentkaaperdamine on eriti ohtlik, kuna see rikub arendajate ja tehisintellekti assistentide vahelist usaldussuhet. Markdown'i süstimise tehnika on loodud nii veenvalt, et tehisintellekti agent ei suuda pahatahtlikku sisu eristada autentsetest Sentry loodud juhistest.

Laialdane kokkupuude ja müüja reageering

Väidetavalt tuvastasid teadlased vähemalt 2388 organisatsiooni, millel on kehtivad ja süstitavad Sentry DSN-id, mis rõhutab probleemi potentsiaalset ulatust.

Sentry on järeldusi tunnistanud, kuid väidetavalt jõudnud järeldusele, et täielik tehniline lahendus pole teostatav. Selle asemel on ettevõte rakendanud globaalse sisu filtreerimise mehhanismi, mille eesmärk on blokeerida rünnakuga seotud teadaolev kasuliku koormuse muster.

Tehisintellekti agentidest saab uus rünnakupind

Agentjackingi esiletõus näitab, kuidas tehisintellektist kodeerimisassistendid on kiiresti muutumas uueks ja atraktiivseks rünnakupinnaks. Traditsiooniliste turvakontrollide sihtimise asemel saavad vastased ära kasutada usaldusväärseid andmevooge, mida organisatsioonid avalikult avaldavad.

Rünnak suudab mööda hiilida paljudest tavapärastest turvatehnoloogiatest, sealhulgas lõpp-punkti tuvastamise ja reageerimise (EDR) lahendustest, veebirakenduste tulemüüridest (WAF), identiteedi- ja juurdepääsuhalduse (IAM) süsteemidest, VPN-idest, Cloudflare'i kaitsest ja traditsioonilistest tulemüüridest. Kuna iga rünnakuahela ajal tehtud toiming tundub volitatud ja õigustatud, ei pruugi turvatööriistadel olla ilmset pahatahtlikku tegevust, mida tuvastada.

Kuna organisatsioonid kiirendavad tehisintellektil põhineva tarkvaraarenduse kasutuselevõttu, on agentide röövimine võimas meeldetuletus, et tehisintellekti agentidele pandud usaldus võib ise muutuda turvanõrkuseks, kui väliseid andmeallikaid käsitletakse loomupäraselt usaldusväärsetena.

 

Laadimine...