Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Güvenlik Açığı Ajan Ele Geçirme Saldırıları

Ajan Ele Geçirme Saldırıları

Mezo'de Güvenlik Açığı'de
Çevir:

Siber güvenlik araştırmacıları, yapay zekâ kodlama yardımcılarını geliştirici sistemlerinde saldırgan tarafından kontrol edilen kodu çalıştırmaya yönlendirebilen Agentjacking olarak bilinen yeni bir saldırı tekniğini ortaya çıkardı.

Saldırı, yaygın olarak kullanılan açık kaynaklı hata izleme ve performans izleme platformu Sentry aracılığıyla oluşturulan sahte bir hata raporundan yararlanıyor. Araştırmacılara göre, güvenlik açığı, Sentry'nin olay alım mekanizması ve Model Bağlam Protokolü (MCP) aracılığıyla yapay zeka sistemleriyle entegrasyonuyla ilgili temel bir mimari zayıflıktan kaynaklanıyor.

Sentry, geçerli bir Veri Kaynağı Adı (DSN) sahibi olan herkesten rastgele olay yükleri kabul ettiğinden, saldırganlar hata raporlarına kötü amaçlı içerik ekleyebilirler. Bu raporlar daha sonra Claude Code veya Cursor gibi yapay zeka kodlama yardımcıları tarafından Sentry MCP sunucusu aracılığıyla alındığında, eklenen içerik meşru sorun giderme kılavuzu olarak yorumlanabilir.

Saldırının Ardındaki Mimari Kusur

Agentjacking'in özünde, MCP'ye bağlı harici hizmetlerin yarattığı bir güven sorunu yatmaktadır. Sentry MCP sunucusu, veriler doğrulanmamış kaynaklardan gelse bile, olay verilerini yapay zeka ajanlarına güvenilir çıktı olarak döndürür.

Sonuç olarak, yapay zeka kodlama ajanları, bir hata olayının gerçek bir uygulama hatasından mı yoksa bir tehdit aktörü tarafından kasıtlı olarak mı oluşturulduğunu güvenilir bir şekilde belirleyemez. Güvenilir içeriği kötü amaçlı girdiden ayırt edememe durumu, ajanın verilen talimatları işleyip uyguladığı her an keyfi kod yürütülmesine yol açar.

Başarılı bir saldırı, ortam değişkenleri, Git kimlik bilgileri, özel depo URL'leri ve geliştirici kimlik verileri de dahil olmak üzere son derece hassas bilgileri açığa çıkarabilir. Özellikle, bu saldırı kimlik avı kampanyaları, kötü amaçlı yazılım dağıtımı veya hedef altyapının önceden ele geçirilmesini gerektirmez.

Agentjacking Saldırı Zinciri Nasıl Çalışır?

Saldırı, dikkatlice planlanmış bir dizi aşamadan geçerek gerçekleşir:

  • Bir tehdit aktörü, hedef kuruluşun Sentry DSN'sini (genellikle web sitelerine yerleştirilmiş, herkese açık ve yalnızca yazma izni olan bir kimlik bilgisi) tespit eder.
  • Açığa çıkarılan DSN kullanılarak, kötü amaçlı bir hata olayı POST isteği yoluyla Sentry'nin veri alım uç noktasına gönderilir.
  • Enjekte edilen olay, mesaj alanlarına ve bağlam anahtar adlarına yerleştirilmiş özel olarak hazırlanmış Markdown içeriği içerir.
  • Sentry MCP sunucusu olayı aldığında, kötü amaçlı içerik, görsel olarak meşru Sentry tarafından oluşturulan kılavuzlara benzeyen yapılandırılmış bilgi olarak görüntülenir.
  • Ardından bir geliştirici, çözülmemiş Sentry sorunlarını araştırmak veya gidermek için bir yapay zeka kodlama asistanına talimat verir.
  • Yapay zekâ ajanı, MCP aracılığıyla Sentry'ye sorgu gönderir ve saldırgan tarafından kontrol edilen olayı alır.
  • Kötü amaçlı talimatlar güvenilir düzeltme adımları olarak ele alınır ve bu da yapay zeka aracısının, saldırgan tarafından sağlanan kodu geliştiricinin ayrıcalıklarıyla çalıştırmasına yol açar.

Saldırının Bu Kadar Etkili Olmasının Sebebi

Agentjacking'in en endişe verici yönlerinden biri, saldırganların kurbanın altyapısıyla asla doğrudan etkileşime girmemesidir. Bunun yerine, kötü amaçlı talimatlar normal bir hata raporu gibi görünen şeyin içine gizlenir.

Geliştiriciler yapay zekâ kodlama ajanlarından yardım istediğinde, manipüle edilmiş hata mesajı meşru bir çözüm önerisi olarak yorumlanır. Yapay zekâ ajanı daha sonra geliştiricinin kendi izinlerini kullanarak geliştiricinin makinesinde talimatları yürütür.

Agentjacking, özellikle geliştiriciler ve yapay zeka asistanları arasındaki güven ilişkisini hedef aldığı için son derece tehlikelidir. Markdown enjeksiyon tekniği o kadar inandırıcı bir şekilde tasarlanmıştır ki, yapay zeka ajanı kötü amaçlı içeriği Sentry tarafından oluşturulan gerçek yönlendirmeden ayırt edemez.

Yaygın Maruz Kalma ve Tedarikçi Yanıtı

Araştırmacılar, geçerli ve enjekte edilebilir Sentry DSN'lerine sahip en az 2.388 kuruluş tespit ettiklerini ve bunun sorunun potansiyel boyutunu ortaya koyduğunu bildirdi.

Sentry bulguları kabul etti ancak tam bir teknik çözümün mümkün olmadığı sonucuna vardı. Bunun yerine şirket, saldırıyla ilişkili belirli bir bilinen yük modelini engellemeyi amaçlayan küresel bir içerik filtreleme mekanizması uyguladı.

Yapay Zeka Ajanları Yeni Saldırı Yüzeyi Haline Geliyor

Agentjacking'in ortaya çıkışı, yapay zekâ kodlama asistanlarının nasıl hızla yeni ve cazip bir saldırı yüzeyi haline geldiğini göstermektedir. Saldırganlar, geleneksel güvenlik kontrollerini hedeflemek yerine, kuruluşların açıkça ortaya koyduğu güvenilir veri akışlarını istismar edebilirler.

Bu saldırı, uç nokta algılama ve yanıt (EDR) çözümleri, web uygulama güvenlik duvarları (WAF'ler), kimlik ve erişim yönetimi (IAM) sistemleri, VPN'ler, Cloudflare korumaları ve geleneksel güvenlik duvarları da dahil olmak üzere birçok geleneksel güvenlik teknolojisini atlatabilmektedir. Saldırı zinciri boyunca gerçekleştirilen her eylem yetkilendirilmiş ve meşru göründüğü için, güvenlik araçlarının tespit edebileceği belirgin bir kötü amaçlı faaliyet olmayabilir.

Organizasyonlar yapay zeka destekli yazılım geliştirme yöntemlerini hızla benimserken, Agentjacking olayı, yapay zeka ajanlarına duyulan güvenin, harici veri kaynaklarının doğası gereği güvenilir kabul edilmesi durumunda, kendisinin bir güvenlik açığına dönüşebileceğinin güçlü bir hatırlatıcısı niteliğindedir.

 

En çok görüntülenen

Yükleniyor...