Oferta rabatowa na wiele licencji
Baza danych zagrożeń Wrażliwość Ataki typu Agentjacking

Ataki typu Agentjacking

Do Mezo w Wrażliwość
Przetłumacz na:

Badacze zajmujący się bezpieczeństwem cybernetycznym odkryli nową technikę ataku znaną jako Agentjacking. Jest to metoda umożliwiająca manipulowanie programistami wykorzystującymi sztuczną inteligencję do wykonywania kontrolowanego przez atakującego kodu w systemach programistów.

Atak wykorzystuje fałszywy raport o błędach generowany przez Sentry, powszechnie używaną platformę open source do śledzenia błędów i monitorowania wydajności. Według badaczy, luka wynika z fundamentalnej słabości architektury, obejmującej mechanizm przetwarzania zdarzeń Sentry oraz jego integrację z systemami sztucznej inteligencji za pośrednictwem protokołu Model Context Protocol (MCP).

Ponieważ Sentry akceptuje dowolne ładunki zdarzeń od każdego, kto posiada prawidłową nazwę źródła danych (DSN), atakujący mogą wstrzykiwać złośliwą zawartość do raportów o błędach. Gdy raporty te zostaną później pobrane przez asystentów kodowania AI, takich jak Claude Code lub Cursor, za pośrednictwem serwera Sentry MCP, wstrzyknięta zawartość może zostać zinterpretowana jako legalna wskazówka dotycząca rozwiązywania problemów.

Wada architektoniczna stojąca za atakiem

U podstaw Agentjackingu leży problem zaufania, który powstaje w wyniku działania zewnętrznych usług połączonych z platformą MCP. Serwer Sentry MCP zwraca dane o zdarzeniach do agentów AI jako zaufane dane wyjściowe, nawet jeśli pochodzą one z niezweryfikowanych źródeł.

W rezultacie agenci kodujący AI nie są w stanie wiarygodnie określić, czy zdarzenie błędu zostało wygenerowane przez autentyczną awarię aplikacji, czy też celowo wstrzyknięte przez atakującego. Ta niemożność odróżnienia zaufanej zawartości od złośliwego kodu prowadzi do wykonania dowolnego kodu za każdym razem, gdy agent przetwarza i postępuje zgodnie z dostarczonymi instrukcjami.

Skuteczne włamanie może ujawnić bardzo poufne informacje, w tym zmienne środowiskowe, dane uwierzytelniające Git, adresy URL prywatnych repozytoriów i dane dotyczące tożsamości programisty. Co istotne, atak nie wymaga kampanii phishingowych, wdrażania złośliwego oprogramowania ani wcześniejszego naruszenia infrastruktury docelowej.

Jak działa łańcuch ataku Agentjacking

Atak przebiega w serii starannie zaplanowanych etapów:

  • Atakujący identyfikuje Sentry DSN docelowej organizacji, czyli publiczne dane uwierzytelniające przeznaczone wyłącznie do zapisu, powszechnie osadzane w witrynach internetowych.
  • Korzystając z ujawnionego DSN, zdarzenie złośliwego błędu jest przesyłane do punktu końcowego przetwarzania danych Sentry za pomocą żądania POST.
  • Wstrzyknięte zdarzenie zawiera specjalnie spreparowaną treść w formacie Markdown osadzoną w polach wiadomości i nazwach kluczy kontekstowych.
  • Gdy serwer Sentry MCP odbiera zdarzenie, złośliwa treść zostaje wyświetlona jako ustrukturyzowane informacje, które wizualnie przypominają legalne wskazówki generowane przez Sentry.
  • Następnie programista zleca asystentowi kodowania AI zbadanie i rozwiązanie nierozwiązanych problemów dotyczących Sentry.
  • Agent AI wysyła zapytanie do Sentry za pośrednictwem protokołu MCP i odbiera zdarzenie kontrolowane przez atakującego.
  • Złośliwe instrukcje traktowane są jako zaufane kroki naprawcze, co prowadzi do tego, że agent AI wykonuje kod dostarczony przez atakującego z uprawnieniami programisty.

Dlaczego atak jest tak skuteczny

Jednym z najbardziej niepokojących aspektów Agentjackingu jest to, że atakujący nigdy nie wchodzą w bezpośrednią interakcję z infrastrukturą ofiary. Zamiast tego złośliwe instrukcje są ukryte w czymś, co wygląda na zwykły raport o błędzie.

Gdy programiści proszą o pomoc swoich agentów programistycznych AI, zmanipulowany komunikat o błędzie jest interpretowany jako uzasadnione zalecenie rozwiązania problemu. Agent AI następnie wykonuje instrukcje na komputerze programisty, korzystając z jego uprawnień.

Agentjacking jest szczególnie niebezpieczny, ponieważ atakuje zaufanie między programistami a asystentami AI. Technika wstrzykiwania znaczników Markdown została zaprojektowana tak przekonująco, że agent AI nie jest w stanie odróżnić złośliwej zawartości od autentycznych wskazówek generowanych przez Sentry.

Szerokie rozpowszechnienie i reakcja dostawców

Badacze podają, że zidentyfikowali co najmniej 2388 organizacji z ważnymi i możliwymi do wdrożenia numerami DSN Sentry, co uwydatnia potencjalną skalę problemu.

Firma Sentry potwierdziła te ustalenia, ale podobno stwierdziła, że całkowite rozwiązanie techniczne jest niewykonalne. Zamiast tego firma wdrożyła globalny mechanizm filtrowania treści, mający na celu zablokowanie określonego, znanego wzorca ładunku związanego z atakiem.

Agenci AI stają się nową powierzchnią ataku

Pojawienie się Agentjackingu pokazuje, jak asystenci programistyczni AI szybko stają się nowym i atrakcyjnym obszarem ataku. Zamiast atakować tradycyjne zabezpieczenia, atakujący mogą wykorzystywać zaufane przepływy danych, które organizacje otwarcie ujawniają.

Atak jest w stanie ominąć wiele konwencjonalnych technologii bezpieczeństwa, w tym rozwiązania wykrywania i reagowania na ataki w punktach końcowych (EDR), zapory sieciowe aplikacji internetowych (WAF), systemy zarządzania tożsamością i dostępem (IAM), sieci VPN, zabezpieczenia Cloudflare oraz tradycyjne zapory sieciowe. Ponieważ każda czynność wykonywana w łańcuchu ataku wydaje się autoryzowana i legalna, narzędzia bezpieczeństwa mogą nie być w stanie wykryć oczywistej złośliwej aktywności.

W miarę jak organizacje przyspieszają proces wdrażania wspomaganego sztuczną inteligencją rozwoju oprogramowania, Agentjacking stanowi dobitny dowód na to, że zaufanie pokładane w agentach AI może samo w sobie stać się luką w zabezpieczeniach, gdy zewnętrzne źródła danych traktujemy jako z natury wiarygodne.

 

Najczęściej oglądane

Ładowanie...