Agentjacking Attacks
網路安全研究人員發現了一種名為 Agentjacking 的新型攻擊技術,該技術能夠操縱人工智慧編碼助理在開發人員系統上執行攻擊者控制的程式碼。
這次攻擊利用了透過 Sentry 產生的虛假錯誤報告。 Sentry 是一款廣泛使用的開源錯誤追蹤和效能監控平台。研究人員表示,該漏洞源自於 Sentry 事件採集機制及其透過模型上下文協議 (MCP) 與人工智慧系統整合時存在的根本性架構缺陷。
由於 Sentry 接受任何擁有有效資料來源名稱 (DSN) 的攻擊者發送的任意事件有效載荷,攻擊者可以將惡意內容注入錯誤報告。當 Claude Code 或 Cursor 等 AI 編碼助理隨後透過 Sentry MCP 伺服器檢索這些報告時,注入的內容可能會被誤判為合法的故障排除指南。
目錄
攻擊背後的架構缺陷
Agentjacking 的核心在於 MC 連線的外部服務所造成的信任問題。 Sentry MCP 伺服器會將事件資料作為可信任輸出傳回 AI 代理,即使這些資料源自未經核實的來源。
因此,人工智慧編碼代理無法可靠地判斷錯誤事件是由應用程式的真實故障引起的,還是由攻擊者故意注入的。這種無法區分可信任內容和惡意輸入的能力,使得代理程式在處理和執行所提供的指令時,存在執行任意程式碼的風險。
成功的入侵可能導致高度敏感資訊洩露,包括環境變數、Git 憑證、私人倉庫 URL 和開發者身分資料。值得注意的是,這種攻擊不需要網路釣魚活動、惡意軟體部署或事先入侵目標基礎設施。
Agentjacking攻擊鏈的工作原理
這次襲擊是透過一系列精心策劃的階段展開的:
- 威脅行為者識別出目標組織的 Sentry DSN,這是一種通常嵌入在網站中的公共只寫憑證。
- 利用暴露的 DSN,透過 POST 請求將惡意錯誤事件提交到 Sentry 的接收端點。
- 注入的事件包含精心製作的 Markdown 內容,這些內容嵌入在訊息欄位和上下文鍵名稱中。
- 當 Sentry MCP 伺服器檢索到該事件時,惡意內容會以結構化資訊的形式呈現,在視覺上與 Sentry 產生的合法指南非常相似。
- 隨後,開發人員指示 AI 編碼助理調查或解決 Sentry 中未解決的問題。
- AI代理透過MCP查詢Sentry,並接收攻擊者控制的事件。
- 惡意指令被視為可信賴的補救步驟,導致 AI 代理程式以開發者的權限執行攻擊者提供的程式碼。
為什麼這次攻擊如此有效
Agentjacking攻擊最令人擔憂的一點是,攻擊者從不直接與受害者的基礎設施互動。相反,惡意指令隱藏在看似正常的錯誤報告中。
當開發者向其人工智慧編碼代理請求協助時,被竄改的錯誤訊息會被解讀為合法的解決方案建議。然後,人工智慧代理會利用開發者本身的權限,在開發者的機器上執行這些指令。
代理劫持尤其危險,因為它針對的是開發者和人工智慧助理之間的信任關係。 Markdown 注入技術設計得非常逼真,以至於人工智慧助理無法區分惡意內容和 Sentry 產生的合法指導資訊。
廣泛曝光及供應商反應
據報道,研究人員發現了至少 2388 個擁有有效且可注射的 Sentry DSN 的組織,這凸顯了這個問題的潛在規模。
Sentry公司已承認調查結果,但據報道,該公司認為徹底的技術修復不可行。因此,該公司實施了一種全局內容過濾機制,旨在阻止與此攻擊相關的特定已知有效載荷模式。
人工智慧代理成為新的攻擊面
Agentjacking 的出現表明,人工智慧編碼助理正迅速成為一種新的、極具吸引力的攻擊目標。攻擊者不再針對傳統的安全控制措施,而是可以利用組織公開的可信任資料流。
此攻擊能夠繞過許多傳統的安全技術,包括端點偵測與回應 (EDR) 解決方案、Web 應用防火牆 (WAF)、身分與存取管理 (IAM) 系統、VPN、Cloudflare 防護以及傳統防火牆。由於攻擊鏈中執行的每個操作看起來都像是經過授權且合法的,因此安全工具可能無法偵測到明顯的惡意活動。
隨著各組織加速採用人工智慧輔助軟體開發,Agentjacking 事件有力地提醒我們,對人工智慧代理的信任本身可能會成為安全漏洞,因為外部資料來源被視為本質上值得信賴。
