Napadi kraje agentov

Do leta Mezo leta Ranljivost

Prevedi v:

Raziskovalci kibernetske varnosti so odkrili novo tehniko napada, znano kot Agentjacking, metodo, ki lahko manipulira s programskimi asistenti umetne inteligence, da izvajajo kodo, ki jo nadzoruje napadalec, na sistemih razvijalcev.

Napad izkorišča lažno poročilo o napaki, ki ga ustvari Sentry, široko uporabljena platforma za sledenje napakam in spremljanje delovanja z odprto kodo. Po mnenju raziskovalcev ranljivost izhaja iz temeljne arhitekturne slabosti, ki vključuje mehanizem za zajemanje dogodkov Sentryja in njegovo integracijo s sistemi umetne inteligence prek protokola Model Context Protocol (MCP).

Ker Sentry sprejema poljubne dogodke od kogar koli, ki ima veljavno ime vira podatkov (DSN), lahko napadalci v poročila o napakah vbrizgajo zlonamerno vsebino. Ko ta poročila kasneje pridobijo pomočniki za kodiranje z umetno inteligenco, kot sta Claude Code ali Cursor, prek strežnika Sentry MCP, se lahko vbrizgana vsebina razlaga kot legitimno vodilo za odpravljanje težav.

Kazalo

Arhitekturna napaka za napadom

V jedru Agentjackinga je problem zaupanja, ki ga ustvarjajo zunanje storitve, povezane z MCP. Strežnik Sentry MCP vrača podatke o dogodkih agentom umetne inteligence kot zaupanja vreden izhod, tudi če podatki izvirajo iz nepreverjenih virov.

Posledično agenti za kodiranje z umetno inteligenco ne morejo zanesljivo ugotoviti, ali je bil dogodek napake posledica dejanske napake aplikacije ali pa ga je namerno vnesel akter grožnje. Ta nezmožnost razlikovanja zaupanja vredne vsebine od zlonamernega vnosa ustvarja pot do poljubnega izvajanja kode, kadar koli agent obdela in sledi podanim navodilom.

Uspešen vdor lahko razkrije zelo občutljive podatke, vključno s spremenljivkami okolja, poverilnicami za Git, URL-ji zasebnih repozitorijev in podatki o identiteti razvijalcev. Omeniti velja, da napad ne zahteva lažnega predstavljanja, namestitve zlonamerne programske opreme ali predhodnega ogrožanja ciljne infrastrukture.

Kako deluje veriga napadov Agentjacking

Napad se odvija skozi vrsto skrbno orkestriranih faz:

Grožnjec prepozna Sentry DSN ciljne organizacije, javno poverilnico samo za pisanje, ki je običajno vdelana v spletna mesta.
Z uporabo izpostavljenega DSN-ja se zlonamerni dogodek napake prek zahteve POST pošlje končni točki za vnašanje Sentryja.
Vbrizgani dogodek vsebuje posebej oblikovano vsebino Markdown, vdelano v polja sporočila in imena kontekstnih ključev.
Ko strežnik Sentry MCP pridobi dogodek, se zlonamerna vsebina upodobi kot strukturirane informacije, ki vizualno spominjajo na legitimna navodila, ki jih je ustvaril Sentry.
Razvijalec nato naroči pomočniku za kodiranje z umetno inteligenco, da razišče ali reši nerešene težave s Sentryjem.

Agent umetne inteligence prek MCP-ja poizveduje pri Sentryju in prejme dogodek, ki ga nadzoruje napadalec.

Zlonamerna navodila se obravnavajo kot zaupanja vredni koraki za sanacijo, zaradi česar agent umetne inteligence izvede kodo, ki jo je priskrbel napadalec, s privilegiji razvijalca.

Zakaj je napad tako učinkovit

Eden najbolj zaskrbljujočih vidikov Agentjackinga je, da napadalci nikoli ne komunicirajo neposredno z infrastrukturo žrtve. Namesto tega so zlonamerna navodila skrita v nečem, kar je videti kot običajno poročilo o napaki.

Ko razvijalci zaprosijo za pomoč svoje agente za kodiranje z umetno inteligenco, se spremenjeno sporočilo o napaki interpretira kot legitimno priporočilo za rešitev. Agent umetne inteligence nato izvede navodila na razvijalčevem računalniku z uporabo razvijalčevih lastnih dovoljenj.

Izločitev agentov je še posebej nevarna, ker cilja na zaupanja vreden odnos med razvijalci in pomočniki umetne inteligence. Tehnika vbrizgavanja markdowna je zasnovana tako prepričljivo, da agent umetne inteligence ne more ločiti zlonamerne vsebine od pristnih navodil, ki jih je ustvaril Sentry.

Široka izpostavljenost in odziv prodajalcev

Raziskovalci so po poročanju identificirali vsaj 2388 organizacij z veljavnimi in vbrizganimi DSN-ji Sentry, kar poudarja potencialni obseg težave.

Sentry je potrdil ugotovitve, vendar naj bi sklenil, da popolna tehnična rešitev ni izvedljiva. Namesto tega je podjetje uvedlo globalni mehanizem za filtriranje vsebine, namenjen blokiranju določenega znanega vzorca koristnega tovora, povezanega z napadom.

Agenti umetne inteligence postanejo nova površina za napad

Pojav Agentjackinga dokazuje, kako pomočniki kodiranja z umetno inteligenco hitro postajajo nova in privlačna površina za napade. Namesto da bi napadalci ciljali na tradicionalne varnostne kontrole, lahko izkoristijo zaupanja vredne podatkovne tokove, ki jih organizacije odkrito razkrivajo.

Napad lahko zaobide številne običajne varnostne tehnologije, vključno z rešitvami za zaznavanje in odzivanje na končne točke (EDR), požarnimi zidovi spletnih aplikacij (WAF), sistemi za upravljanje identitete in dostopa (IAM), omrežji VPN, zaščito Cloudflare in tradicionalnimi požarnimi zidovi. Ker se zdi vsako dejanje, izvedeno med napadalno verigo, pooblaščeno in legitimno, morda ni očitne zlonamerne dejavnosti, ki bi jo varnostna orodja lahko zaznala.

Ker organizacije pospešujejo uvajanje razvoja programske opreme s pomočjo umetne inteligence, Agentjacking služi kot močan opomnik, da lahko zaupanje v agente umetne inteligence samo po sebi postane varnostna ranljivost, če se zunanji viri podatkov obravnavajo kot inherentno zaupanja vredni.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo