Атаки с использованием агентджекинга
Исследователи в области кибербезопасности обнаружили новую технику атаки, известную как Agentjacking, — метод, позволяющий манипулировать программистами на основе искусственного интеллекта для выполнения кода, контролируемого злоумышленником, в системах разработчиков.
Атака использует поддельный отчет об ошибке, сгенерированный с помощью Sentry, широко используемой платформы с открытым исходным кодом для отслеживания ошибок и мониторинга производительности. По словам исследователей, уязвимость связана с фундаментальной архитектурной слабостью механизма приема событий Sentry и его интеграции с системами искусственного интеллекта через протокол контекста модели (MCP).
Поскольку Sentry принимает произвольные данные о событиях от любого пользователя, имеющего действительное имя источника данных (DSN), злоумышленники могут внедрять вредоносный контент в отчеты об ошибках. Когда эти отчеты впоследствии извлекаются помощниками по программированию на основе ИИ, такими как Claude Code или Cursor, через сервер Sentry MCP, внедренный контент может быть интерпретирован как законные рекомендации по устранению неполадок.
Оглавление
Архитектурный недостаток, лежащий в основе атаки.
В основе Agentjacking лежит проблема доверия, создаваемая внешними сервисами, подключенными к MCP. Сервер Sentry MCP возвращает данные о событиях агентам ИИ в качестве доверенных выходных данных, даже если данные поступают из непроверенных источников.
В результате, агенты ИИ, занимающиеся программированием, не могут надежно определить, была ли ошибка вызвана реальным сбоем приложения или преднамеренно внедрена злоумышленником. Эта неспособность отличать доверенный контент от вредоносных входных данных создает путь для выполнения произвольного кода всякий раз, когда агент обрабатывает и следует предоставленным инструкциям.
Успешный взлом может привести к утечке крайне конфиденциальной информации, включая переменные среды, учетные данные Git, URL-адреса закрытых репозиториев и данные, удостоверяющие личность разработчиков. Примечательно, что для этой атаки не требуются фишинговые кампании, развертывание вредоносного ПО или предварительная компрометация целевой инфраструктуры.
Как работает цепочка атак Agentjacking
Атака разворачивается в несколько тщательно спланированных этапов:
- Злоумышленник определяет DSN Sentry целевой организации — общедоступные учетные данные только для записи, обычно внедряемые в веб-сайты.
- Используя открытый DSN, вредоносное событие ошибки отправляется на конечную точку приема данных Sentry посредством POST-запроса.
- Внедряемое событие содержит специально созданный контент в формате Markdown, встроенный в поля сообщения и имена контекстных ключей.
- Когда сервер Sentry MCP получает событие, вредоносное содержимое отображается в виде структурированной информации, которая визуально напоминает легитимные инструкции, сгенерированные Sentry.
- Впоследствии разработчик поручает помощнику по программированию на основе ИИ исследовать или устранить нерешенные проблемы в системе Sentry.
- Агент ИИ отправляет запрос в Sentry через MCP и получает событие, контролируемое злоумышленником.
- Вредоносные инструкции рассматриваются как доверенные шаги по устранению проблемы, что приводит к выполнению агентом ИИ предоставленного злоумышленником кода с привилегиями разработчика.
Почему эта атака так эффективна
Один из наиболее тревожных аспектов Agentjacking заключается в том, что злоумышленники никогда напрямую не взаимодействуют с инфраструктурой жертвы. Вместо этого вредоносные инструкции скрываются в том, что выглядит как обычный отчет об ошибке.
Когда разработчики запрашивают помощь у своих агентов ИИ, управляющих кодом, измененное сообщение об ошибке интерпретируется как допустимая рекомендация по устранению проблемы. Затем агент ИИ выполняет инструкции на компьютере разработчика, используя права доступа самого разработчика.
Агенджекинг особенно опасен, поскольку он нацелен на доверительные отношения между разработчиками и ИИ-помощниками. Техника внедрения Markdown разработана настолько убедительно, что ИИ-агент не может отличить вредоносный контент от подлинных подсказок, сгенерированных Sentry.
Широкое распространение информации и реакция поставщиков
По сообщениям исследователей, было выявлено как минимум 2388 организаций, имеющих действительные и пригодные для инъекций сети Sentry DSN, что подчеркивает потенциальный масштаб проблемы.
Компания Sentry признала полученные данные, но, как сообщается, пришла к выводу, что полное техническое решение невозможно. Вместо этого компания внедрила глобальный механизм фильтрации контента, предназначенный для блокировки определенного известного шаблона полезной нагрузки, связанного с атакой.
Искусственный интеллект становится новой уязвимостью для атак.
Появление Agentjacking демонстрирует, как помощники по программированию на основе ИИ быстро становятся новой и привлекательной поверхностью для атак. Вместо того чтобы атаковать традиционные средства защиты, злоумышленники могут использовать доверенные потоки данных, которые организации открыто предоставляют.
Атака способна обойти многие традиционные технологии безопасности, включая решения для обнаружения и реагирования на угрозы на конечных устройствах (EDR), межсетевые экраны веб-приложений (WAF), системы управления идентификацией и доступом (IAM), VPN, защиту Cloudflare и традиционные межсетевые экраны. Поскольку каждое действие, выполняемое в цепочке атаки, выглядит авторизованным и легитимным, для инструментов безопасности может не быть очевидной вредоносной активности, которую можно было бы обнаружить.
По мере того как организации ускоряют внедрение разработки программного обеспечения с использованием ИИ, Agentjacking служит убедительным напоминанием о том, что доверие, оказываемое агентам ИИ, само по себе может стать уязвимостью в системе безопасности, если внешние источники данных рассматриваются как изначально заслуживающие доверия.
