Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria Agentjacking Attacks

Agentjacking Attacks

Nga MezoCenueshmëria
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një teknikë të re sulmi të njohur si Agentjacking, një metodë e aftë të manipulojë asistentët e kodimit të inteligjencës artificiale në ekzekutimin e kodit të kontrolluar nga sulmuesi në sistemet e zhvilluesve.

Sulmi shfrytëzon një raport gabimi të rremë të gjeneruar përmes Sentry, platformës së përdorur gjerësisht për ndjekjen e gabimeve dhe monitorimin e performancës me burim të hapur. Sipas studiuesve, dobësia rrjedh nga një dobësi themelore arkitekturore që përfshin mekanizmin e marrjes së ngjarjeve të Sentry dhe integrimin e tij me sistemet e IA përmes Protokollit të Kontekstit të Modelit (MCP).

Meqenëse Sentry pranon ngarkesa arbitrare ngjarjesh nga kushdo që zotëron një Emër Burimi të të Dhënave (DSN) të vlefshëm, sulmuesit mund të injektojnë përmbajtje dashakeqe në raportet e gabimeve. Kur këto raporte merren më vonë nga asistentët e kodimit të IA-së, siç janë Claude Code ose Cursor, përmes serverit Sentry MCP, përmbajtja e injektuar mund të interpretohet si udhëzim legjitim për zgjidhjen e problemeve.

Gabimi arkitektonik pas sulmit

Në thelb të Agentjacking është një problem besimi i krijuar nga shërbimet e jashtme të lidhura me MCP. Serveri Sentry MCP kthen të dhënat e ngjarjeve te agjentët e IA-së si rezultate të besueshme, edhe kur të dhënat burojnë nga burime të paverifikuara.

Si rezultat, agjentët e kodimit të inteligjencës artificiale nuk mund të përcaktojnë me besueshmëri nëse një ngjarje gabimi është gjeneruar nga një dështim i vërtetë i aplikacionit apo është injektuar qëllimisht nga një aktor kërcënues. Kjo pamundësi për të dalluar përmbajtjen e besuar nga të dhënat keqdashëse krijon një rrugë drejt ekzekutimit arbitrar të kodit sa herë që agjenti përpunon dhe ndjek udhëzimet e dhëna.

Një kompromentim i suksesshëm mund të ekspozojë informacione shumë të ndjeshme, duke përfshirë variablat e mjedisit, kredencialet e Git, URL-të e depove private dhe të dhënat e identitetit të zhvilluesit. Veçanërisht, sulmi nuk kërkon fushata phishing, vendosje të programeve keqdashëse ose kompromentim paraprak të infrastrukturës së synuar.

Si funksionon Zinxhiri i Sulmeve të Agjentëve

Sulmi zhvillohet përmes një sërë fazash të orkestruara me kujdes:

  • Një aktor kërcënimi identifikon Sentry DSN të një organizate të synuar, një kredencial publik vetëm për shkrim që zakonisht integrohet brenda faqeve të internetit.
  • Duke përdorur DSN-në e ekspozuar, një ngjarje gabimi keqdashës i dërgohet pikës fundore të gëlltitjes së Sentry përmes një kërkese POST.
  • Ngjarja e injektuar përmban përmbajtje të hartuar posaçërisht për ulje çmimesh të integruar brenda fushave të mesazheve dhe emrave të çelësave të kontekstit.
  • Kur serveri Sentry MCP rikuperon ngjarjen, përmbajtja dashakeqe paraqitet si informacion i strukturuar që i ngjan vizualisht udhëzimeve të ligjshme të gjeneruara nga Sentry.
  • Më pas, një zhvillues udhëzon një asistent kodimi të inteligjencës artificiale që të hetojë ose zgjidhë problemet e pazgjidhura të Sentry.
  • Agjenti i IA-së i drejtohet Sentry-t nëpërmjet MCP-së dhe merr ngjarjen e kontrolluar nga sulmuesi.
  • Udhëzimet keqdashëse trajtohen si hapa të besueshëm korrigjimi, duke e bërë agjentin e inteligjencës artificiale të ekzekutojë kodin e furnizuar nga sulmuesi me privilegjet e zhvilluesit.

Pse sulmi është kaq efektiv

Një nga aspektet më shqetësuese të Agentjacking është se sulmuesit nuk bashkëveprojnë kurrë drejtpërdrejt me infrastrukturën e viktimës. Në vend të kësaj, udhëzimet keqdashëse fshihen brenda asaj që duket të jetë një raport gabimi normal.

Kur zhvilluesit kërkojnë ndihmë nga agjentët e tyre të kodimit të IA-së, mesazhi i gabimit i manipuluar interpretohet si një rekomandim legjitim për zgjidhje. Agjenti i IA-së më pas ekzekuton udhëzimet në makinën e zhvilluesit duke përdorur lejet e veta të zhvilluesit.

“Agentjacking” është veçanërisht i rrezikshëm sepse synon marrëdhënien e besuar midis zhvilluesve dhe asistentëve të IA-së. Teknika e injektimit të uljes së çmimit është projektuar në mënyrë aq bindëse sa agjenti i IA-së nuk mund ta dallojë përmbajtjen dashakeqe nga udhëzimet autentike të gjeneruara nga Sentry.

Ekspozimi i gjerë dhe reagimi i shitësve

Studiuesit thuhet se identifikuan të paktën 2,388 organizata me numra DSN Sentry të vlefshëm dhe të injektueshëm, duke theksuar shkallën e mundshme të problemit.

Sentry i ka pranuar gjetjet, por thuhet se ka arritur në përfundimin se një rregullim i plotë teknik nuk është i realizueshëm. Në vend të kësaj, kompania ka zbatuar një mekanizëm global të filtrimit të përmbajtjes që synon të bllokojë një model specifik të njohur të ngarkesës së lidhur me sulmin.

Agjentët e IA-së bëhen Sipërfaqja e Re e Sulmit

Shfaqja e Agentjacking tregon se si asistentët e kodimit të inteligjencës artificiale po bëhen me shpejtësi një sipërfaqe e re dhe tërheqëse sulmi. Në vend që të synojnë kontrollet tradicionale të sigurisë, kundërshtarët mund të shfrytëzojnë rrjedhat e besueshme të të dhënave që organizatat i ekspozojnë hapur.

Sulmi është i aftë të anashkalojë shumë teknologji konvencionale të sigurisë, duke përfshirë zgjidhjet e zbulimit dhe përgjigjes së pikave fundore (EDR), firewall-et e aplikacioneve web (WAF), sistemet e menaxhimit të identitetit dhe aksesit (IAM), VPN-të, mbrojtjet Cloudflare dhe firewall-et tradicionale. Meqenëse çdo veprim i kryer gjatë zinxhirit të sulmit duket i autorizuar dhe legjitim, mund të mos ketë aktivitet të dukshëm keqdashës që mjetet e sigurisë ta zbulojnë.

Ndërsa organizatat përshpejtojnë miratimin e zhvillimit të softuerëve të asistuar nga IA, Agentjacking shërben si një kujtesë e fuqishme se besimi i vendosur te agjentët e IA-së mund të bëhet vetë një dobësi sigurie kur burimet e jashtme të të dhënave trajtohen si të besueshme në thelb.

 

Po ngarkohet...