Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Napadi krađe agenata

Napadi krađe agenata

Do Mezo. Ranjivost. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novu tehniku napada poznatu kao Agentjacking, metodu sposobnu manipulirati asistentima kodiranja umjetne inteligencije kako bi izvršavali kod koji kontrolira napadač na sustavima programera.

Napad iskorištava lažno izvješće o pogrešci generirano putem Sentrija, široko korištene platforme otvorenog koda za praćenje pogrešaka i nadzor performansi. Prema istraživačima, ranjivost proizlazi iz temeljne arhitektonske slabosti koja uključuje Sentryjev mehanizam za unos događaja i njegovu integraciju sa sustavima umjetne inteligencije putem Model Context Protocol (MCP).

Budući da Sentry prihvaća proizvoljne podatke događaja od bilo koga tko posjeduje valjani naziv izvora podataka (DSN), napadači mogu ubrizgati zlonamjerni sadržaj u izvješća o pogreškama. Kada pomoćnici umjetne inteligencije za kodiranje poput Claudea Codea ili Cursora kasnije dohvate ta izvješća putem Sentry MCP poslužitelja, ubrizgani sadržaj može se protumačiti kao legitimne smjernice za rješavanje problema.

Arhitektonska mana iza napada

U srži Agentjackinga je problem povjerenja koji stvaraju vanjske usluge povezane s MCP-om. Sentry MCP poslužitelj vraća podatke o događajima AI agentima kao pouzdani izlaz, čak i kada podaci potječu iz neprovjerenih izvora.

Kao rezultat toga, agenti za umjetnu inteligenciju ne mogu pouzdano utvrditi je li pogreška generirana stvarnim kvarom aplikacije ili ju je namjerno ubrizgao prijetnja. Ova nemogućnost razlikovanja pouzdanog sadržaja od zlonamjernog unosa stvara put do proizvoljnog izvršavanja koda kad god agent obrađuje i slijedi dane upute.

Uspješna kompromitacija može otkriti vrlo osjetljive informacije, uključujući varijable okruženja, Git vjerodajnice, URL-ove privatnih repozitorija i podatke o identitetu programera. Važno je napomenuti da napad ne zahtijeva phishing kampanje, implementaciju zlonamjernog softvera ili prethodno kompromitiranje ciljne infrastrukture.

Kako funkcionira lanac napada krađe agenta

Napad se odvija kroz niz pažljivo orkestriranih faza:

  • Prijetnja identificira Sentry DSN ciljne organizacije, javni pristupni broj samo za pisanje koji se obično ugrađuje u web-stranice.
  • Korištenjem izloženog DSN-a, događaj zlonamjerne pogreške šalje se Sentryjevoj krajnjoj točki za unos putem POST zahtjeva.
  • Ubrizgani događaj sadrži posebno izrađen markdown sadržaj ugrađen unutar polja poruke i naziva kontekstnih ključeva.
  • Kada Sentry MCP poslužitelj dohvati događaj, zlonamjerni sadržaj se prikazuje kao strukturirane informacije koje vizualno nalikuju legitimnim uputama koje je generirao Sentry.
  • Programer potom daje upute AI asistentu za kodiranje da istraži ili riješi neriješene probleme sa Sentryjem.
  • AI agent šalje upit Sentriju putem MCP-a i prima događaj kojim upravlja napadač.
  • Zlonamjerne upute tretiraju se kao pouzdani koraci sanacije, što navodi AI agenta da izvrši kod koji je dao napadač s privilegijama programera.

Zašto je napad tako učinkovit

Jedan od najzabrinjavajućih aspekata Agentjackinga jest taj što napadači nikada izravno ne komuniciraju s infrastrukturom žrtve. Umjesto toga, zlonamjerne upute skrivene su unutar onoga što se čini kao normalno izvješće o pogrešci.

Kada programeri zatraže pomoć od svojih AI kodera, manipulirana poruka o pogrešci interpretira se kao legitimna preporuka za rješenje. AI agent zatim izvršava upute na računalu programera koristeći vlastite dozvole programera.

Krađa agenata je posebno opasna jer cilja na odnos povjerenja između programera i AI asistenata. Tehnika ubrizgavanja markdowna je toliko uvjerljivo dizajnirana da AI agent ne može razlikovati zlonamjerni sadržaj od autentičnih uputa koje generira Sentry.

Široka izloženost i odgovor dobavljača

Istraživači su navodno identificirali najmanje 2388 organizacija s valjanim i primjenjivim Sentry DSN-ovima, što naglašava potencijalne razmjere problema.

Sentry je priznao nalaze, ali je navodno zaključio da potpuno tehničko rješenje nije izvedivo. Umjesto toga, tvrtka je implementirala globalni mehanizam filtriranja sadržaja namijenjen blokiranju određenog poznatog obrasca korisnog tereta povezanog s napadom.

AI agenti postaju nova površina za napad

Pojava Agentjackinga pokazuje kako AI kodni asistenti brzo postaju nova i atraktivna površina za napad. Umjesto ciljanja tradicionalnih sigurnosnih kontrola, protivnici mogu iskoristiti pouzdane tokove podataka koje organizacije otvoreno otkrivaju.

Napad je sposoban zaobići mnoge konvencionalne sigurnosne tehnologije, uključujući rješenja za otkrivanje i odgovor na krajnje točke (EDR), vatrozidove web aplikacija (WAF), sustave za upravljanje identitetom i pristupom (IAM), VPN-ove, Cloudflare zaštite i tradicionalne vatrozidove. Budući da se svaka radnja izvršena tijekom lanca napada čini autoriziranom i legitimnom, možda nema očite zlonamjerne aktivnosti koju bi sigurnosni alati mogli otkriti.

Kako organizacije ubrzavaju usvajanje razvoja softvera potpomognutog umjetnom inteligencijom, Agentjacking služi kao snažan podsjetnik da povjerenje u AI agente može samo po sebi postati sigurnosna ranjivost kada se vanjski izvori podataka tretiraju kao inherentno pouzdani.

 

Učitavam...