Agentjacking Attacks
Изследователи по киберсигурност са открили нова техника за атака, известна като Agentjacking, метод, способен да манипулира асистенти за кодиране с изкуствен интелект, за да изпълняват контролиран от нападателя код в системи на разработчици.
Атаката използва фалшив отчет за грешка, генериран чрез Sentry, широко използваната платформа с отворен код за проследяване на грешки и мониторинг на производителността. Според изследователите, уязвимостта произтича от фундаментална архитектурна слабост, включваща механизма за приемане на събития на Sentry и неговата интеграция със системи с изкуствен интелект чрез Model Context Protocol (MCP).
Тъй като Sentry приема произволни полезен товар от събития от всеки, притежаващ валидно име на източник на данни (DSN), нападателите могат да инжектират злонамерено съдържание в отчети за грешки. Когато тези отчети по-късно бъдат извлечени от асистенти за кодиране с изкуствен интелект, като Claude Code или Cursor, чрез Sentry MCP сървъра, инжектираното съдържание може да бъде интерпретирано като легитимно ръководство за отстраняване на неизправности.
Съдържание
Архитектурният недостатък зад атаката
В основата на Agentjacking е проблем с доверието, създаден от външни услуги, свързани с MCP. Sentry MCP сървърът връща данни за събития на AI агентите като надежден изход, дори когато данните произхождат от непроверени източници.
В резултат на това, агентите за кодиране с изкуствен интелект не могат надеждно да определят дали дадено събитие за грешка е генерирано от истински срив на приложението или е умишлено инжектирано от злонамерен участник. Тази неспособност за разграничаване на надеждно съдържание от злонамерен вход създава път към изпълнение на произволен код, когато агентът обработва и следва предоставените инструкции.
Успешното компрометиране може да разкрие силно чувствителна информация, включително променливи на средата, Git идентификационни данни, URL адреси на частни хранилища и данни за самоличност на разработчиците. Важно е да се отбележи, че атаката не изисква фишинг кампании, внедряване на зловреден софтуер или предварително компрометиране на целевата инфраструктура.
Как работи веригата за атака Agentjacking
Атаката се разгръща през поредица от внимателно организирани етапи:
- Злоумишленик идентифицира Sentry DSN на целевата организация, публичен идентификационен номер само за запис, често вграден в уебсайтове.
- Използвайки открития DSN, злонамерено събитие за грешка се изпраща до крайната точка за приемане на Sentry чрез POST заявка.
- Инжектираното събитие съдържа специално изработено съдържание за маркиране, вградено в полетата на съобщението и имената на контекстните ключове.
- Когато Sentry MCP сървърът извлече събитието, злонамереното съдържание се представя като структурирана информация, която визуално наподобява легитимни насоки, генерирани от Sentry.
- Впоследствие разработчик инструктира асистент по кодиране с изкуствен интелект да проучи или разреши нерешени проблеми със Sentry.
- Агентът с изкуствен интелект отправя запитване към Sentry чрез MCP и получава събитието, контролирано от атакуващия.
- Злонамерените инструкции се третират като надеждни стъпки за отстраняване на проблеми, което кара AI агента да изпълни предоставен от нападателя код с привилегиите на разработчика.
Защо атаката е толкова ефективна
Един от най-тревожните аспекти на Agentjacking е, че нападателите никога не взаимодействат директно с инфраструктурата на жертвата. Вместо това, злонамерени инструкции са скрити в това, което изглежда като нормален отчет за грешка.
Когато разработчиците поискат помощ от своите агенти за кодиране с изкуствен интелект, манипулираното съобщение за грешка се интерпретира като легитимна препоръка за разрешаване на проблема. След това агентът с изкуствен интелект изпълнява инструкциите на машината на разработчика, използвайки собствените му разрешения.
Кражбата на агенти е особено опасна, защото е насочена към нарушаване на доверителните отношения между разработчиците и асистентите с изкуствен интелект. Техниката за инжектиране на markdown е проектирана толкова убедително, че агентът с изкуствен интелект не може да различи злонамереното съдържание от автентични насоки, генерирани от Sentry.
Широко разпространена експозиция и реакция на доставчиците
Според съобщенията изследователите са идентифицирали поне 2388 организации с валидни и инжектируеми Sentry DSN, което подчертава потенциалния мащаб на проблема.
Sentry е признала констатациите, но според съобщенията е заключила, че пълно техническо решение не е осъществимо. Вместо това компанията е внедрила глобален механизъм за филтриране на съдържание, предназначен да блокира специфичен известен модел на полезен товар, свързан с атаката.
Агентите с изкуствен интелект се превръщат в новата повърхност за атака
Появата на Agentjacking показва как асистентите за кодиране с изкуствен интелект бързо се превръщат в нова и привлекателна повърхност за атака. Вместо да се насочват към традиционните контроли за сигурност, нападателите могат да експлоатират надеждни потоци от данни, които организациите открито разкриват.
Атаката е способна да заобиколи много конвенционални технологии за сигурност, включително решения за откриване и реагиране на крайни точки (EDR), защитни стени за уеб приложения (WAF), системи за управление на идентичността и достъпа (IAM), VPN мрежи, защити на Cloudflare и традиционни защитни стени. Тъй като всяко действие, извършено по време на веригата на атаката, изглежда оторизирано и легитимно, може да няма очевидна злонамерена дейност, която инструментите за сигурност да открият.
Тъй като организациите ускоряват внедряването на разработка на софтуер, подпомогната от изкуствен интелект, Agentjacking служи като мощно напомняне, че доверието, което се влага в агентите с изкуствен интелект, може само по себе си да се превърне в уязвимост в сигурността, когато външните източници на данни се третират като по своята същност надеждни.