Agentjacking Attacks

Kiberbiztonsági kutatók felfedeztek egy új támadási technikát, az Agentjackinget, amely képes manipulálni a mesterséges intelligencia kódolási asszisztenseket, hogy támadó által vezérelt kódot hajtsanak végre a fejlesztői rendszereken.

A támadás a Sentry, a széles körben használt nyílt forráskódú hibakövető és teljesítményfigyelő platform által generált hamis hibajelentést használja ki. A kutatók szerint a sebezhetőség egy alapvető architektúrális gyengeségből ered, amely a Sentry eseményfeldolgozási mechanizmusát és a Model Context Protocol (MCP) segítségével mesterséges intelligencia rendszerekkel való integrációját érinti.

Mivel a Sentry tetszőleges eseményadatokat fogad el bárkitől, aki érvényes adatforrás-névvel (DSN) rendelkezik, a támadók rosszindulatú tartalmat juttathatnak be a hibajelentésekbe. Amikor ezeket a jelentéseket később mesterséges intelligencia által fejlesztett kódolási asszisztensek, például a Claude Code vagy a Cursor lekérik a Sentry MCP szerverén keresztül, a beillesztett tartalom jogos hibaelhárítási útmutatóként értelmezhető.

Az építészeti hiba a támadás mögött

Az Agentjacking lényege egy bizalmi probléma, amelyet az MCP-hez kapcsolódó külső szolgáltatások hoznak létre. A Sentry MCP szerver megbízható kimenetként adja vissza az eseményadatokat az AI-ügynököknek, még akkor is, ha az adatok nem ellenőrzött forrásból származnak.

Ennek eredményeként a mesterséges intelligencia által kódoló ügynökök nem tudják megbízhatóan megállapítani, hogy a hibaeseményt valódi alkalmazáshiba generálta-e, vagy egy fenyegetés szándékosan injektálta. A megbízható tartalom és a rosszindulatú bemenet megkülönböztetésének képtelensége önkényes kódfuttatáshoz vezet, valahányszor az ügynök feldolgozza és követi a megadott utasításokat.

Egy sikeres kompromittálás rendkívül érzékeny információkat, például környezeti változókat, Git hitelesítő adatokat, privát adattár URL-címeket és fejlesztői azonosító adatokat hozhat nyilvánosságra. Fontos megjegyezni, hogy a támadáshoz nincs szükség adathalász kampányokra, rosszindulatú programok telepítésére vagy a célinfrastruktúra előzetes feltörésére.

Hogyan működik az ügynöklopásos támadási lánc

A támadás gondosan megtervezett szakaszokon keresztül bontakozik ki:

• Egy fenyegetést jelentő szereplő azonosítja a célszervezet Sentry DSN-jét, amely egy nyilvános, csak írásra jogosító hitelesítő adat, és amelyet általában a webhelyekbe ágyaznak be.
• A kiszivárgott DSN használatával egy rosszindulatú hibaesemény kerül elküldésre a Sentry betöltési végpontjára egy POST kérésen keresztül.
• A befecskendezett esemény speciálisan létrehozott Markdown-tartalmat tartalmaz, amely üzenetmezőkbe és kontextuskulcs-nevekbe van ágyazva.
• Amikor a Sentry MCP szerver lekéri az eseményt, a rosszindulatú tartalom strukturált információként jelenik meg, amely vizuálisan hasonlít a Sentry által generált jogos útmutatásra.
• A fejlesztő ezt követően utasít egy mesterséges intelligenciával működő kódolóasszisztenst, hogy vizsgálja ki vagy oldja meg a megoldatlan Sentry-problémákat.

• Az MI-ügynök az MCP-n keresztül lekérdezi a Sentryt, és megkapja a támadó által vezérelt eseményt.

• A rosszindulatú utasításokat megbízható korrekciós lépésként kezeli a rendszer, aminek következtében a mesterséges intelligencia ügynöke a támadó által biztosított kódot a fejlesztő jogosultságaival hajtja végre.

Miért olyan hatékony a támadás

Az Agentjacking egyik legaggasztóbb aspektusa, hogy a támadók soha nem lépnek közvetlenül kapcsolatba az áldozat infrastruktúrájával. Ehelyett a rosszindulatú utasítások egy látszólag normál hibajelentésben vannak elrejtve.

Amikor a fejlesztők segítséget kérnek a mesterséges intelligencia által támogatott kódoló ügynökeiktől, a manipulált hibaüzenetet jogos megoldási javaslatként értelmezik. A mesterséges intelligencia ügynöke ezután a fejlesztő saját engedélyeivel végrehajtja az utasításokat a fejlesztő gépén.

Az ügynökeltérítés különösen veszélyes, mivel a fejlesztők és a mesterséges intelligencia által létrehozott asszisztensek közötti bizalmi kapcsolatot veszi célba. A markdown injektálási technikát olyan meggyőzően tervezték, hogy a mesterséges intelligencia ügynöke ne tudja megkülönböztetni a rosszindulatú tartalmat a Sentry által generált hiteles útmutatástól.

Széles körű expozíció és a szállítói reakció

A kutatók állítólag legalább 2388 szervezetet azonosítottak érvényes és injektálható Sentry DSN-nel, ami rávilágít a probléma potenciális mértékére.

A Sentry elismerte a megállapításokat, de állítólag arra a következtetésre jutottak, hogy a teljes technikai megoldás nem megvalósítható. Ehelyett a vállalat egy globális tartalomszűrő mechanizmust vezetett be, amelynek célja, hogy blokkolja a támadással kapcsolatos ismert hasznos adatmintákat.

A mesterséges intelligencia ügynökei válnak az új támadási felületté

Az Agentjacking megjelenése jól mutatja, hogy a mesterséges intelligencia által fejlesztett kódolási asszisztensek milyen gyorsan válnak új és vonzó támadási felületté. A hagyományos biztonsági ellenőrzések célba vétele helyett a támadók kihasználhatják a szervezetek nyíltan nyilvánosságra hozott megbízható adatfolyamokat.

A támadás képes megkerülni számos hagyományos biztonsági technológiát, beleértve a végpont-észlelési és -válasz (EDR) megoldásokat, a webalkalmazás-tűzfalakat (WAF), az identitás- és hozzáférés-kezelő (IAM) rendszereket, a VPN-eket, a Cloudflare védelmet és a hagyományos tűzfalakat. Mivel a támadási lánc során végrehajtott minden művelet jogosnak és legitimnek tűnik, előfordulhat, hogy a biztonsági eszközök nem észlelhetnek nyilvánvaló rosszindulatú tevékenységet.

Ahogy a szervezetek egyre gyorsabban alkalmazzák a mesterséges intelligencia által támogatott szoftverfejlesztést, az Agentjacking (ügynökjacking) erőteljes emlékeztetőül szolgál arra, hogy az MI-ügynökökbe vetett bizalom önmagában is biztonsági rést jelenthet, ha a külső adatforrásokat eredendően megbízhatónak tekintik.