Attacchi di agentjacking
I ricercatori di sicurezza informatica hanno scoperto una nuova tecnica di attacco nota come Agentjacking, un metodo in grado di manipolare gli assistenti di programmazione basati sull'intelligenza artificiale per eseguire codice controllato dall'attaccante sui sistemi degli sviluppatori.
L'attacco sfrutta un falso report di errore generato tramite Sentry, la piattaforma open-source ampiamente utilizzata per il tracciamento degli errori e il monitoraggio delle prestazioni. Secondo i ricercatori, la vulnerabilità deriva da una debolezza architetturale fondamentale che riguarda il meccanismo di acquisizione degli eventi di Sentry e la sua integrazione con i sistemi di intelligenza artificiale tramite il Model Context Protocol (MCP).
Poiché Sentry accetta payload di eventi arbitrari da chiunque possieda un Data Source Name (DSN) valido, gli aggressori possono iniettare contenuti dannosi nei report di errore. Quando questi report vengono successivamente recuperati da assistenti di programmazione basati sull'IA, come Claude Code o Cursor, tramite il server Sentry MCP, il contenuto iniettato potrebbe essere interpretato come una legittima guida alla risoluzione dei problemi.
Sommario
Il difetto architettonico alla base dell’attacco
Alla base dell'Agentjacking c'è un problema di fiducia creato dai servizi esterni connessi all'MCP. Il server Sentry MCP restituisce i dati degli eventi agli agenti di intelligenza artificiale come output attendibile, anche quando i dati provengono da fonti non verificate.
Di conseguenza, gli agenti di programmazione basati sull'IA non sono in grado di determinare con certezza se un evento di errore sia stato generato da un malfunzionamento reale dell'applicazione o iniettato deliberatamente da un malintenzionato. Questa incapacità di distinguere i contenuti attendibili dagli input dannosi crea una falla che consente l'esecuzione di codice arbitrario ogni volta che l'agente elabora e segue le istruzioni fornite.
Un attacco riuscito può esporre informazioni altamente sensibili, tra cui variabili d'ambiente, credenziali Git, URL di repository privati e dati di identità degli sviluppatori. È importante sottolineare che l'attacco non richiede campagne di phishing, l'installazione di malware o una precedente compromissione dell'infrastruttura target.
Come funziona la catena di attacchi di agentjacking
L'attacco si articola in una serie di fasi attentamente orchestrate:
- Un malintenzionato identifica il DSN Sentry di un'organizzazione bersaglio, una credenziale pubblica di sola scrittura comunemente incorporata nei siti web.
- Sfruttando il DSN esposto, un evento di errore dannoso viene inviato all'endpoint di acquisizione di Sentry tramite una richiesta POST.
- L'evento iniettato contiene contenuti markdown appositamente creati e incorporati nei campi del messaggio e nei nomi delle chiavi di contesto.
- Quando il server Sentry MCP recupera l'evento, il contenuto dannoso viene visualizzato come informazioni strutturate che assomigliano visivamente alle indicazioni legittime generate da Sentry.
- Successivamente, uno sviluppatore incarica un assistente di programmazione basato sull'intelligenza artificiale di esaminare o risolvere i problemi irrisolti di Sentry.
- L'agente IA interroga Sentry tramite MCP e riceve l'evento controllato dall'attaccante.
- Le istruzioni dannose vengono trattate come passaggi di correzione attendibili, portando l'agente di intelligenza artificiale a eseguire il codice fornito dall'attaccante con i privilegi dello sviluppatore.
Perché l’attacco è così efficace
Uno degli aspetti più preoccupanti dell'Agentjacking è che gli aggressori non interagiscono mai direttamente con l'infrastruttura della vittima. Al contrario, le istruzioni dannose sono nascoste all'interno di quello che sembra un normale rapporto di errore.
Quando gli sviluppatori richiedono assistenza ai loro agenti di programmazione basati sull'IA, il messaggio di errore manipolato viene interpretato come una valida raccomandazione di risoluzione. L'agente IA esegue quindi le istruzioni sul computer dello sviluppatore utilizzando i permessi di quest'ultimo.
L'agentjacking è particolarmente pericoloso perché prende di mira il rapporto di fiducia tra sviluppatori e assistenti IA. La tecnica di iniezione di markdown è progettata in modo così convincente che l'agente IA non riesce a distinguere il contenuto dannoso dalle autentiche indicazioni generate da Sentry.
Ampia esposizione e risposta del fornitore
Secondo quanto riportato, i ricercatori hanno identificato almeno 2.388 organizzazioni con Sentry DSN validi e utilizzabili, evidenziando la potenziale portata del problema.
Sentry ha preso atto dei risultati, ma secondo quanto riportato ha concluso che una soluzione tecnica completa non è fattibile. Pertanto, l'azienda ha implementato un meccanismo globale di filtraggio dei contenuti, progettato per bloccare uno specifico schema di payload noto e associato all'attacco.
Gli agenti di intelligenza artificiale diventano la nuova superficie di attacco
L'emergere dell'Agentjacking dimostra come gli assistenti di programmazione basati sull'intelligenza artificiale stiano rapidamente diventando una nuova e attraente superficie di attacco. Anziché prendere di mira i tradizionali controlli di sicurezza, gli avversari possono sfruttare i flussi di dati affidabili che le organizzazioni espongono apertamente.
L'attacco è in grado di eludere numerose tecnologie di sicurezza convenzionali, tra cui soluzioni di rilevamento e risposta degli endpoint (EDR), firewall per applicazioni web (WAF), sistemi di gestione delle identità e degli accessi (IAM), VPN, protezioni Cloudflare e firewall tradizionali. Poiché ogni azione eseguita durante la catena di attacco appare autorizzata e legittima, potrebbe non esserci alcuna attività dannosa evidente che gli strumenti di sicurezza siano in grado di rilevare.
Mentre le organizzazioni accelerano l'adozione dello sviluppo software assistito dall'IA, l'attacco di Agentjacking rappresenta un potente monito: la fiducia riposta negli agenti di IA può di per sé trasformarsi in una vulnerabilità di sicurezza quando le fonti di dati esterne vengono considerate intrinsecamente affidabili.
