Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet Agentkapringsangrep

Agentkapringsangrep

Med Mezo i Sårbarhet
Oversett til:

Forskere innen nettsikkerhet har avdekket en ny angrepsteknikk kjent som Agentjacking, en metode som er i stand til å manipulere kodingsassistenter for kunstig intelligens til å kjøre angriperkontrollert kode på utviklersystemer.

Angrepet utnytter en falsk feilrapport generert gjennom Sentry, den mye brukte plattformen for feilsporing og ytelsesovervåking med åpen kildekode. Ifølge forskerne stammer sårbarheten fra en grunnleggende arkitektonisk svakhet som involverer Sentrys hendelsesinntaksmekanisme og dens integrasjon med AI-systemer gjennom Model Context Protocol (MCP).

Fordi Sentry aksepterer vilkårlige hendelsesnyttelaster fra alle som har et gyldig datakildenavn (DSN), kan angripere injisere skadelig innhold i feilrapporter. Når disse rapportene senere hentes av AI-kodingsassistenter som Claude Code eller Cursor via Sentry MCP-serveren, kan det injiserte innholdet tolkes som legitim feilsøkingsveiledning.

Den arkitektoniske feilen bak angrepet

Kjernen i Agentjacking er et tillitsproblem skapt av MCP-tilkoblede eksterne tjenester. Sentry MCP-serveren returnerer hendelsesdata til AI-agenter som klarert utdata, selv når dataene stammer fra ubekreftede kilder.

Som et resultat kan ikke AI-kodingsagenter pålitelig avgjøre om en feilhendelse ble generert av en ekte applikasjonsfeil eller bevisst injisert av en trusselaktør. Denne manglende evnen til å skille pålitelig innhold fra ondsinnet inndata skaper en vei til vilkårlig kodekjøring når agenten behandler og følger de gitte instruksjonene.

Et vellykket kompromittering kan eksponere svært sensitiv informasjon, inkludert miljøvariabler, Git-legitimasjon, URL-er til private databaser og utvikleridentitetsdata. Det er verdt å merke seg at angrepet ikke krever phishing-kampanjer, utrulling av skadelig programvare eller tidligere kompromittering av målinfrastrukturen.

Hvordan agentkapringsangrepskjeden fungerer

Angrepet utfolder seg gjennom en rekke nøye orkestrerte stadier:

  • En trusselaktør identifiserer en målorganisasjons Sentry DSN, en offentlig skrivebeskyttet legitimasjon som vanligvis er innebygd i nettsteder.
  • Ved hjelp av det eksponerte DSN-et sendes en ondsinnet feilhendelse til Sentrys inntaksendepunkt via en POST-forespørsel.
  • Den injiserte hendelsen inneholder spesiallaget markdown-innhold innebygd i meldingsfelt og kontekstnøkkelnavn.
  • Når Sentry MCP-serveren henter hendelsen, gjengis det skadelige innholdet som strukturert informasjon som visuelt ligner legitim Sentry-generert veiledning.
  • En utvikler instruerer deretter en AI-kodingsassistent til å undersøke eller løse uløste Sentry-problemer.
  • AI-agenten spør Sentry via MCP og mottar den angriperkontrollerte hendelsen.
  • De ondsinnede instruksjonene behandles som pålitelige utbedringstrinn, noe som fører til at AI-agenten kjører angriperlevert kode med utviklerens rettigheter.

Hvorfor angrepet er så effektivt

Et av de mest bekymringsfulle aspektene ved Agentjacking er at angripere aldri samhandler direkte med offerets infrastruktur. I stedet skjules ondsinnede instruksjoner i det som ser ut til å være en vanlig feilrapport.

Når utviklere ber om hjelp fra sine AI-kodingsagenter, tolkes den manipulerte feilmeldingen som en legitim løsningsanbefaling. AI-agenten utfører deretter instruksjonene på utviklerens maskin ved å bruke utviklerens egne tillatelser.

Agentjacking er spesielt farlig fordi det retter seg mot det tillitsfulle forholdet mellom utviklere og AI-assistenter. Markdown-injeksjonsteknikken er utformet så overbevisende at AI-agenten ikke kan skille det skadelige innholdet fra autentisk Sentry-generert veiledning.

Utbredt eksponering og leverandørrespons

Forskere skal ha identifisert minst 2388 organisasjoner med gyldige og injiserbare Sentry DSN-er, noe som fremhever problemets potensielle omfang.

Sentry har erkjent funnene, men skal ha konkludert med at en fullstendig teknisk løsning ikke er mulig. I stedet har selskapet implementert en global innholdsfiltreringsmekanisme som er ment å blokkere et spesifikt kjent nyttelastmønster knyttet til angrepet.

AI-agenter blir den nye angrepsflaten

Fremveksten av Agentjacking demonstrerer hvordan AI-kodingsassistenter raskt blir en ny og attraktiv angrepsflate. I stedet for å målrette tradisjonelle sikkerhetskontroller, kan motstandere utnytte pålitelige datastrømmer som organisasjoner åpent eksponerer.

Angrepet er i stand til å omgå mange konvensjonelle sikkerhetsteknologier, inkludert løsninger for endepunktdeteksjon og -respons (EDR), brannmurer for webapplikasjoner (WAF-er), identitets- og tilgangsstyringssystemer (IAM), VPN-er, Cloudflare-beskyttelse og tradisjonelle brannmurer. Fordi hver handling som utføres under angrepskjeden virker autorisert og legitim, kan det ikke være noen åpenbar ondsinnet aktivitet som sikkerhetsverktøy kan oppdage.

Etter hvert som organisasjoner akselererer bruken av AI-assistert programvareutvikling, fungerer Agentjacking som en kraftig påminnelse om at tilliten som vises AI-agenter i seg selv kan bli et sikkerhetsproblem når eksterne datakilder behandles som iboende pålitelige.

 

Laster inn...