Aģentu zādzības uzbrukumi

Līdz Mezo. gadam Neaizsargātība. gadā

Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu uzbrukuma tehniku, kas pazīstama kā Agentjacking, — metodi, kas spēj manipulēt ar mākslīgā intelekta kodēšanas asistentiem, lai tie izpildītu uzbrucēja kontrolētu kodu izstrādātāju sistēmās.

Uzbrukumā tiek izmantots viltots kļūdu ziņojums, kas ģenerēts, izmantojot plaši izmantoto atvērtā pirmkoda kļūdu izsekošanas un veiktspējas uzraudzības platformu Sentry. Pēc pētnieku domām, ievainojamība izriet no fundamentālas arhitektūras vājuma, kas saistīts ar Sentry notikumu uzņemšanas mehānismu un tā integrāciju ar mākslīgā intelekta sistēmām, izmantojot modeļa konteksta protokolu (MCP).

Tā kā Sentry pieņem patvaļīgus notikumu datus no jebkuras personas, kurai ir derīgs datu avota nosaukums (DSN), uzbrucēji var ievietot ļaunprātīgu saturu kļūdu ziņojumos. Kad šos ziņojumus vēlāk izgūst mākslīgā intelekta kodēšanas palīgi, piemēram, Claude Code vai Cursor, izmantojot Sentry MCP serveri, ievietotais saturs var tikt interpretēts kā likumīgi problēmu novēršanas norādījumi.

Satura rādītājs

Uzbrukuma pamatā esošais arhitektūras trūkums

Aģentu nolaupīšanas pamatā ir uzticības problēma, ko rada ar MCP savienoti ārējie pakalpojumi. Sentry MCP serveris atgriež notikumu datus mākslīgā intelekta aģentiem kā uzticamu izvadi, pat ja dati ir iegūti no nepārbaudītiem avotiem.

Tā rezultātā mākslīgā intelekta kodēšanas aģenti nevar droši noteikt, vai kļūdas notikumu ģenerēja īsta lietojumprogrammas kļūme vai arī to apzināti ievadīja apdraudējuma dalībnieks. Šī nespēja atšķirt uzticamu saturu no ļaunprātīgas ievades rada ceļu patvaļīgai koda izpildei ikreiz, kad aģents apstrādā un izpilda sniegtos norādījumus.

Veiksmīga kompromitēšana var atklāt ļoti sensitīvu informāciju, tostarp vides mainīgos, Git akreditācijas datus, privāto repozitoriju URL un izstrādātāja identitātes datus. Jāatzīmē, ka uzbrukumam nav nepieciešamas pikšķerēšanas kampaņas, ļaunprogrammatūras izvietošana vai iepriekšēja mērķa infrastruktūras kompromitēšana.

Kā darbojas aģentu zādzības uzbrukuma ķēde

Uzbrukums notiek vairākos rūpīgi plānotos posmos:

Draudu izpildītājs identificē mērķa organizācijas Sentry DSN — publisku, tikai rakstīšanai paredzētu akreditācijas informāciju, kas parasti ir iegulta tīmekļa vietnēs.
Izmantojot atklāto DSN, Sentry ievades galapunktam, izmantojot POST pieprasījumu, tiek iesniegts ļaunprātīgs kļūdas notikums.
Injicētais notikums satur īpaši izstrādātu Markdown saturu, kas iegults ziņojumu laukos un konteksta atslēgu nosaukumos.
Kad Sentry MCP serveris izgūst notikumu, ļaunprātīgais saturs tiek atveidots kā strukturēta informācija, kas vizuāli atgādina likumīgus Sentry ģenerētus norādījumus.
Pēc tam izstrādātājs uzdod mākslīgā intelekta kodēšanas asistentam izmeklēt vai atrisināt neatrisinātas Sentry problēmas.

Mākslīgā intelekta aģents vaicā Sentry, izmantojot MCP, un saņem uzbrucēja kontrolētu notikumu.

Ļaunprātīgās instrukcijas tiek uzskatītas par uzticamiem labošanas soļiem, kas liek mākslīgā intelekta aģentam izpildīt uzbrucēja sniegto kodu ar izstrādātāja privilēģijām.

Kāpēc uzbrukums ir tik efektīvs

Viens no satraucošākajiem aģentu zādzības aspektiem ir tas, ka uzbrucēji nekad tieši nemijiedarbojas ar upura infrastruktūru. Tā vietā ļaunprātīgas instrukcijas ir paslēptas šķietami parastā kļūdas ziņojumā.

Kad izstrādātāji lūdz palīdzību no saviem mākslīgā intelekta kodēšanas aģentiem, manipulētais kļūdas ziņojums tiek interpretēts kā likumīgs risinājuma ieteikums. Pēc tam mākslīgā intelekta aģents izpilda instrukcijas izstrādātāja datorā, izmantojot izstrādātāja paša atļaujas.

Aģentu zādzība ir īpaši bīstama, jo tā ir vērsta pret uzticamām attiecībām starp izstrādātājiem un mākslīgā intelekta asistentiem. Markdown injekcijas tehnika ir izstrādāta tik pārliecinoši, ka mākslīgā intelekta aģents nevar atšķirt ļaunprātīgo saturu no autentiskiem Sentry ģenerētiem norādījumiem.

Plaša iedarbība un pārdevēju reakcija

Tiek ziņots, ka pētnieki ir identificējuši vismaz 2388 organizācijas ar derīgiem un injicējamiem Sentry DSN, kas uzsver problēmas potenciālo apmēru.

Sentry ir atzinis atklājumus, taču, kā ziņots, secinājis, ka pilnīgs tehnisks risinājums nav iespējams. Tā vietā uzņēmums ir ieviesis globālu satura filtrēšanas mehānismu, kas paredzēts, lai bloķētu konkrētu zināmu ar uzbrukumu saistītu lietderīgās slodzes modeli.

Mākslīgā intelekta aģenti kļūst par jauno uzbrukuma virsmu

Aģentu zādzības parādīšanās parāda, kā mākslīgā intelekta kodēšanas asistenti strauji kļūst par jaunu un pievilcīgu uzbrukuma virsmu. Tā vietā, lai mērķētu uz tradicionālajām drošības kontrolēm, pretinieki var izmantot uzticamas datu plūsmas, kuras organizācijas atklāti atklāj.

Uzbrukums spēj apiet daudzas tradicionālās drošības tehnoloģijas, tostarp galapunktu noteikšanas un reaģēšanas (EDR) risinājumus, tīmekļa lietojumprogrammu ugunsmūrus (WAF), identitātes un piekļuves pārvaldības (IAM) sistēmas, VPN, Cloudflare aizsardzības līdzekļus un tradicionālos ugunsmūrus. Tā kā katra uzbrukuma ķēdes laikā veiktā darbība šķiet autorizēta un likumīga, drošības rīkiem var nebūt acīmredzamas ļaunprātīgas darbības, ko tās atklāt.

Tā kā organizācijas paātrina mākslīgā intelekta atbalstītas programmatūras izstrādes ieviešanu, aģentu nolaupīšana kalpo kā spēcīgs atgādinājums, ka uzticība mākslīgā intelekta aģentiem pati par sevi var kļūt par drošības ievainojamību, ja ārēji datu avoti tiek uzskatīti par principiāli uzticamiem.

EnigmaSoft maksājumu procesors Digital River GmbH bankrota pieteikums neietekmē SpyHunter klientu aizsardzību pret ļaunprātīgu programmatūru

Meklēt

Mainīt reģionu