Знижка на кілька ліцензій
База даних загроз Вразливість Атаки з викраденням агентів

Атаки з викраденням агентів

До Mezo року в Вразливість році
Перекласти на:

Дослідники з кібербезпеки виявили нову техніку атаки, відому як Agentjacking, метод, здатний маніпулювати помічниками кодування на основі штучного інтелекту для виконання коду, контрольованого зловмисником, на системах розробників.

Атака використовує підроблений звіт про помилку, згенерований за допомогою Sentry, широко використовуваної платформи з відкритим кодом для відстеження помилок та моніторингу продуктивності. За словами дослідників, вразливість випливає з фундаментальної архітектурної слабкості, пов'язаної з механізмом обробки подій Sentry та його інтеграцією з системами штучного інтелекту через протокол контексту моделі (MCP).

Оскільки Sentry приймає довільні корисні навантаження подій від будь-кого, хто має дійсне ім'я джерела даних (DSN), зловмисники можуть впроваджувати шкідливий контент у звіти про помилки. Коли ці звіти пізніше отримуються помічниками кодування штучного інтелекту, такими як Claude Code або Cursor, через сервер Sentry MCP, впроваджений контент може бути інтерпретований як законні інструкції з усунення несправностей.

Архітектурний недолік, що стоїть за атакою

В основі Agentjacking лежить проблема довіри, створювана зовнішніми сервісами, підключеними до MCP. Сервер Sentry MCP повертає дані про події агентам штучного інтелекту як довірений вихід, навіть якщо дані походять з неперевірених джерел.

В результаті, агенти кодування на основі штучного інтелекту не можуть надійно визначити, чи була помилка згенерована справжнім збоєм програми, чи навмисно введена зловмисником. Ця нездатність відрізнити довірений контент від шкідливого створює шлях до виконання довільного коду щоразу, коли агент обробляє та виконує надані інструкції.

Успішна компрометація може розкрити дуже конфіденційну інформацію, включаючи змінні середовища, облікові дані Git, URL-адреси приватних репозиторіїв та дані ідентифікації розробника. Примітно, що атака не вимагає фішингових кампаній, розгортання шкідливого програмного забезпечення або попередньої компрометації цільової інфраструктури.

Як працює ланцюжок атак Agentjacking

Атака розгортається через серію ретельно спланованих етапів:

  • Зловмисник ідентифікує Sentry DSN цільової організації, публічний обліковий запис лише для запису, який зазвичай вбудований у веб-сайти.
  • Використовуючи розкритий DSN, подія зловмисної помилки надсилається до кінцевої точки прийому Sentry через POST-запит.
  • Введена подія містить спеціально створений вміст розмітки, вбудований у поля повідомлення та назви ключових слів контексту.
  • Коли сервер Sentry MCP отримує подію, шкідливий контент відображається як структурована інформація, яка візуально нагадує легітимні інструкції, згенеровані Sentry.
  • Згодом розробник доручає асистенту зі штучного інтелекту дослідити або вирішити невирішені проблеми Sentry.
  • Агент штучного інтелекту запитує Sentry через MCP та отримує подію, контрольовану зловмисником.
  • Шкідливі інструкції розглядаються як надійні кроки виправлення, що спонукає агента штучного інтелекту виконувати код, наданий зловмисником, з правами розробника.

    • Чому атака така ефективна

    Одним із найбільш тривожних аспектів Agentjacking є те, що зловмисники ніколи безпосередньо не взаємодіють з інфраструктурою жертви. Натомість шкідливі інструкції приховані в тому, що виглядає як звичайний звіт про помилку.

    Коли розробники запитують допомогу у своїх агентів кодування на основі штучного інтелекту, маніпульоване повідомлення про помилку інтерпретується як рекомендація щодо вирішення проблеми. Потім агент штучного інтелекту виконує інструкції на машині розробника, використовуючи його власні дозволи.

    Викрадення агентів особливо небезпечне, оскільки воно спрямоване на порушення довірчих стосунків між розробниками та помічниками ШІ. Техніка впровадження markdown розроблена настільки переконливо, що агент ШІ не може відрізнити шкідливий контент від справжніх інструкцій, згенерованих Sentry.

    Широке поширення та реакція постачальників

    Повідомляється, що дослідники виявили щонайменше 2388 організацій з дійсними та придатними для введення DSN Sentry, що підкреслює потенційний масштаб проблеми.

    Sentry визнала висновки, але, як повідомляється, дійшла висновку, що повне технічне виправлення неможливе. Натомість компанія впровадила глобальний механізм фільтрації контенту, призначений для блокування певного відомого шаблону корисного навантаження, пов'язаного з атакою.

    Агенти штучного інтелекту стають новою поверхнею атаки

    Поява Agentjacking демонструє, як помічники кодування на основі штучного інтелекту швидко стають новою та привабливою поверхнею для атак. Замість того, щоб націлюватися на традиційні засоби контролю безпеки, зловмисники можуть використовувати довірені потоки даних, які організації відкрито розкривають.

    Атака здатна обійти багато традиційних технологій безпеки, включаючи рішення для виявлення та реагування на кінцеві точки (EDR), брандмауери веб-застосунків (WAF), системи керування ідентифікацією та доступом (IAM), VPN, захист Cloudflare та традиційні брандмауери. Оскільки кожна дія, виконана під час ланцюжка атаки, виглядає авторизованою та легітимною, інструменти безпеки можуть не мати очевидної шкідливої активності, яку могли б виявити.

    Оскільки організації прискорюють впровадження розробки програмного забезпечення за допомогою штучного інтелекту, Agentjacking слугує потужним нагадуванням про те, що довіра до агентів ШІ сама по собі може стати вразливістю безпеки, коли зовнішні джерела даних розглядаються як надійні за своєю суттю.

    Завантаження...