Напади крађе агената

Истраживачи сајбер безбедности открили су нову технику напада познату као Agentjacking, методу способну да манипулише асистентима за кодирање вештачке интелигенције како би извршавали код који контролише нападач на системима програмера.

Напад користи лажни извештај о грешци генерисан путем Sentry-ја, широко коришћене платформе отвореног кода за праћење грешака и надгледање перформанси. Према истраживачима, рањивост произилази из фундаменталне архитектонске слабости која укључује Sentry-јев механизам за прикупљање догађаја и његову интеграцију са AI системима путем Model Context Protocol-а (MCP).

Пошто Sentry прихвата произвољне корисне податке догађаја од било кога ко поседује важећи назив извора података (DSN), нападачи могу убризгати злонамерни садржај у извештаје о грешкама. Када ове извештаје касније преузму асистенти за вештачко кодирање као што су Claude Code или Cursor преко Sentry MCP сервера, убризгани садржај може бити протумачен као легитимно упутство за решавање проблема.

Архитектонска грешка која стоји иза напада

У сржи крађе агента је проблем поверења који стварају екстерне услуге повезане са MCP-ом. Sentry MCP сервер враћа податке о догађајима AI агентима као поуздан излаз, чак и када подаци потичу из непроверених извора.

Као резултат тога, агенти за вештачку интелигенцију не могу поуздано да утврде да ли је грешку генерисао прави квар апликације или ју је намерно убацио претња. Ова немогућност разликовања поузданог садржаја од злонамерног уноса ствара пут ка произвољном извршавању кода кад год агент обрађује и прати дата упутства.

Успешна компромитација може открити веома осетљиве информације, укључујући променљиве окружења, Git акредитиве, URL-ове приватних спремишта и податке о идентитету програмера. Приметно је да напад не захтева фишинг кампање, распоређивање злонамерног софтвера или претходно компромитовање циљне инфраструктуре.

Како функционише ланац напада крађе агента

Напад се одвија кроз низ пажљиво оркестрираних фаза:

• Претећи актер идентификује Sentry DSN циљне организације, јавни акредитив само за писање који се обично уграђује у веб странице.
• Користећи изложени DSN, злонамерни догађај грешке се шаље Sentry-јевој крајњој тачки за унос података путем POST захтева.
• Убризгани догађај садржи посебно креиран садржај маркдауна уграђен у поља поруке и имена контекстних кључева.
• Када Sentry MCP сервер преузме догађај, злонамерни садржај се приказује као структуриране информације које визуелно подсећају на легитимне смернице које је генерисао Sentry.
• Програмер потом налаже асистенту за вештачку интелигенцију да истражи или реши нерешене проблеме са Sentry-јем.

• АИ агент упућује упит Sentry-ју путем MCP-а и прима догађај којим управља нападач.

• Злонамерне инструкције се третирају као поуздани кораци за санацију, што наводи вештачку интелигенцију да изврши код који је нападач обезбедио са привилегијама програмера.

Зашто је напад тако ефикасан

Један од најзабрињавајућих аспеката крађе агента је то што нападачи никада директно не интерагују са инфраструктуром жртве. Уместо тога, злонамерна упутства су скривена унутар онога што изгледа као нормалан извештај о грешци.

Када програмери затраже помоћ од својих AI кодера, манипулисана порука о грешци се тумачи као легитимна препорука за решавање. AI агент затим извршава инструкције на програмеровом рачунару користећи програмерове сопствене дозволе.

Крађа агента је посебно опасна јер циља на поверење између програмера и вештачке интелигенције. Техника убризгавања markdown-а је тако убедљиво осмишљена да вештачка интелигенција не може да разликује злонамерни садржај од аутентичних смерница које је генерисао Sentry.

Широко распрострањена изложеност и одговор добављача

Истраживачи су наводно идентификовали најмање 2.388 организација са важећим и ињекционим Sentry DSN-овима, што истиче потенцијалне размере проблема.

Компанија Sentry је признала налазе, али је наводно закључила да потпуно техничко решење није изводљиво. Уместо тога, компанија је имплементирала глобални механизам за филтрирање садржаја који има за циљ да блокира одређени познати образац корисног терета повезан са нападом.

Агенти вештачке интелигенције постају нова површина за напад

Појава Agentjacking-а показује како асистенти за кодирање помоћу вештачке интелигенције брзо постају нова и атрактивна површина за напад. Уместо да циљају традиционалне безбедносне контроле, противници могу да искористе поуздане токове података које организације отворено откривају.

Напад је способан да заобиђе многе конвенционалне безбедносне технологије, укључујући решења за детекцију и реаговање на крајње тачке (EDR), заштитне зидове веб апликација (WAF), системе за управљање идентитетом и приступом (IAM), VPN-ове, Cloudflare заштиту и традиционалне заштитне зидове. Пошто свака радња извршена током ланца напада делује овлашћено и легитимно, можда нема очигледне злонамерне активности коју би безбедносни алати могли да открију.

Како организације убрзавају усвајање развоја софтвера уз помоћ вештачке интелигенције, Agentjacking служи као снажан подсетник да поверење које се полаже у агенте вештачке интелигенције може само по себи постати безбедносна рањивост када се спољни извори података третирају као инхерентно поуздани.