قیمت چند مجوز تخفیف
پایگاه داده تهدید آسیب پذیری حملات جاسوسی

حملات جاسوسی

تا Mezo در آسیب پذیری
ترجمه به:

محققان امنیت سایبری یک تکنیک حمله جدید به نام Agentjacking را کشف کرده‌اند، روشی که قادر است دستیارهای کدنویسی هوش مصنوعی را برای اجرای کد تحت کنترل مهاجم روی سیستم‌های توسعه‌دهنده دستکاری کند.

این حمله از یک گزارش خطای جعلی تولید شده از طریق Sentry، پلتفرم ردیابی خطای متن‌باز و نظارت بر عملکرد که به طور گسترده مورد استفاده قرار می‌گیرد، استفاده می‌کند. به گفته محققان، این آسیب‌پذیری ناشی از یک ضعف معماری اساسی است که شامل مکانیسم دریافت رویداد Sentry و ادغام آن با سیستم‌های هوش مصنوعی از طریق پروتکل Model Context (MCP) می‌شود.

از آنجا که Sentry بارهای رویداد دلخواه را از هر کسی که دارای نام منبع داده (DSN) معتبر است، می‌پذیرد، مهاجمان می‌توانند محتوای مخرب را به گزارش‌های خطا تزریق کنند. هنگامی که این گزارش‌ها بعداً توسط دستیاران کدنویسی هوش مصنوعی مانند Claude Code یا Cursor از طریق سرور Sentry MCP بازیابی می‌شوند، محتوای تزریق شده ممکن است به عنوان راهنمای عیب‌یابی مشروع تفسیر شود.

نقص معماری پشت این حمله

در هسته‌ی Agentjacking، یک مشکل اعتماد وجود دارد که توسط سرویس‌های خارجی متصل به MCP ایجاد می‌شود. سرور Sentry MCP داده‌های رویداد را به عنوان خروجی قابل اعتماد به عوامل هوش مصنوعی بازمی‌گرداند، حتی زمانی که داده‌ها از منابع تأیید نشده سرچشمه می‌گیرند.

در نتیجه، عوامل کدنویسی هوش مصنوعی نمی‌توانند به طور قابل اعتمادی تشخیص دهند که آیا یک رویداد خطا توسط یک نقص واقعی در برنامه ایجاد شده است یا عمداً توسط یک عامل تهدید تزریق شده است. این ناتوانی در تشخیص محتوای قابل اعتماد از ورودی مخرب، مسیری را برای اجرای کد دلخواه ایجاد می‌کند، هر زمان که عامل دستورالعمل‌های ارائه شده را پردازش و دنبال کند.

یک نفوذ موفق می‌تواند اطلاعات بسیار حساسی از جمله متغیرهای محیطی، اعتبارنامه‌های گیت، URLهای مخزن خصوصی و داده‌های هویت توسعه‌دهنده را افشا کند. نکته قابل توجه این است که این حمله نیازی به کمپین‌های فیشینگ، استقرار بدافزار یا نفوذ قبلی به زیرساخت هدف ندارد.

نحوه عملکرد زنجیره حمله Agentjacking

این حمله از طریق یک سری مراحل با دقت هماهنگ انجام می‌شود:

  • یک عامل تهدید، Sentry DSN یک سازمان هدف را شناسایی می‌کند، یک اعتبارنامه عمومی فقط نوشتنی که معمولاً در وب‌سایت‌ها تعبیه می‌شود.
  • با استفاده از DSN افشا شده، یک رویداد خطای مخرب از طریق یک درخواست POST به نقطه پایانی مصرف Sentry ارسال می‌شود.
  • رویداد تزریق‌شده حاوی محتوای نشانه‌گذاری‌شده‌ی دستکاری‌شده‌ی ویژه‌ای است که در فیلدهای پیام و نام‌های کلید زمینه جاسازی شده است.
  • وقتی سرور Sentry MCP رویداد را بازیابی می‌کند، محتوای مخرب به صورت اطلاعات ساختاریافته‌ای ارائه می‌شود که از نظر بصری شبیه راهنمایی‌های مشروع تولید شده توسط Sentry است.
  • متعاقباً، یک توسعه‌دهنده به یک دستیار کدنویسی هوش مصنوعی دستور می‌دهد تا مشکلات حل‌نشده‌ی Sentry را بررسی یا حل کند.
  • عامل هوش مصنوعی از طریق MCP از Sentry پرس‌وجو می‌کند و رویداد کنترل‌شده توسط مهاجم را دریافت می‌کند.
  • دستورالعمل‌های مخرب به عنوان مراحل اصلاحی مورد اعتماد در نظر گرفته می‌شوند و عامل هوش مصنوعی را به سمت اجرای کد ارائه شده توسط مهاجم با امتیازات توسعه‌دهنده سوق می‌دهند.

    • چرا حمله اینقدر مؤثر است

    یکی از نگران‌کننده‌ترین جنبه‌های Agentjacking این است که مهاجمان هرگز مستقیماً با زیرساخت قربانی تعامل نمی‌کنند. در عوض، دستورالعمل‌های مخرب در چیزی که به نظر می‌رسد یک گزارش خطای عادی است، پنهان می‌شوند.

    وقتی توسعه‌دهندگان از عامل‌های کدنویسی هوش مصنوعی خود درخواست کمک می‌کنند، پیام خطای دستکاری‌شده به عنوان یک توصیه‌ی حل مشروع تفسیر می‌شود. سپس عامل هوش مصنوعی با استفاده از مجوزهای خود توسعه‌دهنده، دستورالعمل‌ها را روی دستگاه توسعه‌دهنده اجرا می‌کند.

    حمله‌ی Agentjacking به طور خاص خطرناک است زیرا رابطه‌ی قابل اعتماد بین توسعه‌دهندگان و دستیاران هوش مصنوعی را هدف قرار می‌دهد. تکنیک تزریق markdown به گونه‌ای طراحی شده است که عامل هوش مصنوعی نمی‌تواند محتوای مخرب را از راهنمایی‌های معتبر تولید شده توسط Sentry تشخیص دهد.

    انتشار گسترده و واکنش فروشندگان

    طبق گزارش‌ها، محققان حداقل ۲۳۸۸ سازمان را با DSN های معتبر و قابل تزریق Sentry شناسایی کرده‌اند که نشان‌دهنده‌ی مقیاس بالقوه‌ی این مشکل است.

    شرکت Sentry یافته‌ها را تأیید کرده است، اما بنا به گزارش‌ها به این نتیجه رسیده است که یک راه‌حل فنی کامل امکان‌پذیر نیست. در عوض، این شرکت یک مکانیسم فیلترینگ محتوای جهانی را پیاده‌سازی کرده است که هدف آن مسدود کردن یک الگوی خاص و شناخته‌شده‌ی مرتبط با حمله است.

    عوامل هوش مصنوعی به سطح حمله جدید تبدیل می‌شوند

    ظهور Agentjacking نشان می‌دهد که چگونه دستیارهای برنامه‌نویسی هوش مصنوعی به سرعت در حال تبدیل شدن به یک سطح حمله جدید و جذاب هستند. دشمنان می‌توانند به جای هدف قرار دادن کنترل‌های امنیتی سنتی، از جریان‌های داده قابل اعتمادی که سازمان‌ها آشکارا در معرض آن قرار می‌دهند، سوءاستفاده کنند.

    این حمله قادر به دور زدن بسیاری از فناوری‌های امنیتی مرسوم، از جمله راهکارهای تشخیص و پاسخ به نقاط پایانی (EDR)، فایروال‌های برنامه‌های وب (WAFها)، سیستم‌های مدیریت هویت و دسترسی (IAM)، VPNها، محافظت‌های Cloudflare و فایروال‌های سنتی است. از آنجا که هر عملی که در طول زنجیره حمله انجام می‌شود، مجاز و مشروع به نظر می‌رسد، ممکن است هیچ فعالیت مخرب آشکاری برای شناسایی توسط ابزارهای امنیتی وجود نداشته باشد.

    همزمان با شتاب گرفتن سازمان‌ها در پذیرش توسعه نرم‌افزار مبتنی بر هوش مصنوعی، Agentjacking به عنوان یادآوری قدرتمندی عمل می‌کند که اعتماد به عامل‌های هوش مصنوعی می‌تواند خود به یک آسیب‌پذیری امنیتی تبدیل شود، زمانی که منابع داده خارجی ذاتاً قابل اعتماد تلقی شوند.

    بارگذاری...