Rabattoffert för flera licenser
Hotdatabas Sårbarhet Agentkapningsattacker

Agentkapningsattacker

Med Mezo år Sårbarhet
Översätt till:

Cybersäkerhetsforskare har upptäckt en ny attackteknik som kallas Agentjacking, en metod som kan manipulera kodningsassistenter för artificiell intelligens att exekvera angriparkontrollerad kod på utvecklarsystem.

Attacken utnyttjar en falsk felrapport som genererats via Sentry, den allmänt använda plattformen med öppen källkod för felspårning och prestandaövervakning. Enligt forskarna härrör sårbarheten från en grundläggande arkitektonisk svaghet som involverar Sentrys händelseinmatningsmekanism och dess integration med AI-system genom Model Context Protocol (MCP).

Eftersom Sentry accepterar godtyckliga händelsenyttolaster från alla som har ett giltigt datakällnamn (DSN) kan angripare injicera skadligt innehåll i felrapporter. När dessa rapporter senare hämtas av AI-kodningsassistenter som Claude Code eller Cursor via Sentry MCP-servern kan det injicerade innehållet tolkas som legitim felsökningsvägledning.

Det arkitektoniska felet bakom attacken

Kärnan i Agentjacking är ett förtroendeproblem som skapas av MCP-anslutna externa tjänster. Sentry MCP-servern returnerar händelsedata till AI-agenter som betrodd utdata, även när informationen kommer från overifierade källor.

Som ett resultat kan AI-kodningsagenter inte tillförlitligt avgöra om en felhändelse genererades av ett verkligt programfel eller avsiktligt injicerades av en hotaktör. Denna oförmåga att skilja pålitligt innehåll från skadlig inmatning skapar en väg till godtycklig kodkörning när agenten bearbetar och följer de angivna instruktionerna.

En lyckad kompromettering kan exponera mycket känslig information, inklusive miljövariabler, Git-inloggningsuppgifter, webbadresser till privata databaser och utvecklaridentitetsdata. Det är värt att notera att attacken inte kräver nätfiskekampanjer, distribution av skadlig kod eller tidigare kompromettering av målinfrastrukturen.

Hur agentkapningsattackkedjan fungerar

Attacken utvecklas genom en serie noggrant orkestrerade etapper:

  • En hotbildare identifierar en målorganisations Sentry DSN, en offentlig skrivskyddad autentiseringsuppgift som vanligtvis är inbäddad på webbplatser.
  • Med hjälp av det exponerade DSN:et skickas en skadlig felhändelse till Sentrys inmatningsslutpunkt via en POST-begäran.
  • Den injicerade händelsen innehåller specialskrivet markdown-innehåll inbäddat i meddelandefält och kontextnycklar.
  • När Sentry MCP-servern hämtar händelsen återges det skadliga innehållet som strukturerad information som visuellt liknar legitim Sentry-genererad vägledning.
  • En utvecklare instruerar därefter en AI-kodningsassistent att undersöka eller lösa olösta Sentry-problem.
  • AI-agenten frågar Sentry via MCP och tar emot den angriparstyrda händelsen.
  • De skadliga instruktionerna behandlas som betrodda åtgärdssteg, vilket leder till att AI-agenten kör kod som tillhandahålls av angriparen med utvecklarens behörigheter.

Varför attacken är så effektiv

En av de mest oroande aspekterna av Agentjacking är att angripare aldrig direkt interagerar med offrets infrastruktur. Istället döljs skadliga instruktioner i vad som verkar vara en vanlig felrapport.

När utvecklare begär hjälp från sina AI-kodningsagenter tolkas det manipulerade felmeddelandet som en legitim lösningsrekommendation. AI-agenten kör sedan instruktionerna på utvecklarens dator med utvecklarens egna behörigheter.

Agentkapning är särskilt farligt eftersom det riktar sig mot den betrodda relationen mellan utvecklare och AI-assistenter. Tekniken med markdown-injektion är utformad så övertygande att AI-agenten inte kan skilja det skadliga innehållet från autentisk Sentry-genererad vägledning.

Utbredd exponering och leverantörsrespons

Forskare identifierade enligt uppgift minst 2 388 organisationer med giltiga och injicerbara Sentry DSN:er, vilket belyser problemets potentiella omfattning.

Sentry har erkänt resultaten men enligt uppgift dragit slutsatsen att en fullständig teknisk lösning inte är genomförbar. Istället har företaget implementerat en global innehållsfiltreringsmekanism som är avsedd att blockera ett specifikt känt nyttolastmönster i samband med attacken.

AI-agenter blir den nya attackytan

Framväxten av Agentjacking visar hur AI-kodningsassistenter snabbt blir en ny och attraktiv attackyta. Istället för att rikta in sig på traditionella säkerhetskontroller kan motståndare utnyttja betrodda dataflöden som organisationer öppet exponerar.

Attacken kan kringgå många konventionella säkerhetstekniker, inklusive lösningar för endpoint detection and response (EDR), webbapplikationsbrandväggar (WAF), identitets- och åtkomsthanteringssystem (IAM), VPN, Cloudflare-skydd och traditionella brandväggar. Eftersom varje åtgärd som utförs under attackkedjan verkar auktoriserad och legitim, kan det inte finnas någon uppenbar skadlig aktivitet för säkerhetsverktyg att upptäcka.

I takt med att organisationer accelererar införandet av AI-assisterad mjukvaruutveckling, fungerar Agentjacking som en kraftfull påminnelse om att det förtroende som ges till AI-agenter i sig kan bli en säkerhetsbrist när externa datakällor behandlas som i sig tillförlitliga.

 

Mest sedda

Läser in...