Agentjacking Attacks

V roce Mezo v roce Zranitelnost

Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou útočnou techniku známou jako Agentjacking, což je metoda schopná manipulovat s programovacími asistenty umělé inteligence tak, aby spouštěli kód ovládaný útočníkem na vývojářských systémech.

Útok využívá falešnou chybovou zprávu generovanou prostřednictvím Sentry, široce používané open-source platformy pro sledování chyb a monitorování výkonu. Podle výzkumníků pramení zranitelnost ze základní architektonické slabosti zahrnující mechanismus příjmu událostí Sentry a jeho integraci se systémy umělé inteligence prostřednictvím protokolu Model Context Protocol (MCP).

Protože Sentry přijímá libovolné datové části událostí od kohokoli, kdo má platný název zdroje dat (DSN), mohou útočníci vložit škodlivý obsah do chybových hlášení. Když tato hlášení později načtou asistenti kódování s umělou inteligencí, jako je Claude Code nebo Cursor, prostřednictvím serveru Sentry MCP, může být vložený obsah interpretován jako legitimní pokyny pro řešení problémů.

Obsah

Architektonická chyba, která stála za útokem

Jádrem Agentjackingu je problém s důvěrou způsobený externími službami připojenými k MCP. Server Sentry MCP vrací data událostí agentům AI jako důvěryhodný výstup, a to i v případě, že data pocházejí z neověřených zdrojů.

V důsledku toho nemohou agenti kódování s umělou inteligencí spolehlivě určit, zda chybová událost byla vygenerována skutečným selháním aplikace, nebo zda byla úmyslně vložena útočníkem. Tato neschopnost rozlišit důvěryhodný obsah od škodlivého vstupu vytváří cestu k libovolnému spuštění kódu, kdykoli agent zpracuje a bude postupovat podle zadaných pokynů.

Úspěšný kompromitační útok může odhalit vysoce citlivé informace, včetně proměnných prostředí, přihlašovacích údajů Gitu, URL adres soukromých repozitářů a údajů o identitě vývojářů. Je pozoruhodné, že útok nevyžaduje phishingové kampaně, nasazení malwaru ani předchozí kompromitaci cílové infrastruktury.

Jak funguje řetězec útoků typu Agentjacking

Útok probíhá v sérii pečlivě zorganizovaných fází:

Útočník identifikuje Sentry DSN cílové organizace, což je veřejný přihlašovací údaj pouze pro zápis, který je běžně integrován do webových stránek.
Pomocí odhaleného DSN je do koncového bodu pro příjem Sentry odeslána událost škodlivé chyby prostřednictvím požadavku POST.
Vložená událost obsahuje speciálně vytvořený obsah Markdownu vložený do polí zpráv a názvů kontextových klíčů.
Když server Sentry MCP načte událost, škodlivý obsah se vykreslí jako strukturované informace, které vizuálně připomínají legitimní pokyny generované systémem Sentry.
Vývojář následně instruuje asistenta kódování s umělou inteligencí, aby prošetřil nebo vyřešil nevyřešené problémy se Sentry.

Agent umělé inteligence se dotazuje Sentry prostřednictvím MCP a přijímá událost řízenou útočníkem.

Škodlivé instrukce jsou považovány za důvěryhodné kroky k nápravě, což vede agenta umělé inteligence ke spuštění kódu dodaného útočníkem s oprávněními vývojáře.

Proč je útok tak účinný

Jedním z nejvíce znepokojivých aspektů útoku Agentjacking je, že útočníci nikdy přímo neinteragují s infrastrukturou oběti. Místo toho jsou škodlivé instrukce skryty v něčem, co se jeví jako běžná chybová zpráva.

Když vývojáři požádají o pomoc své agenty pro kódování s umělou inteligencí, manipulovaná chybová zpráva je interpretována jako legitimní doporučení k řešení. Agent umělé inteligence poté provede instrukce na počítači vývojáře s použitím jeho vlastních oprávnění.

Útok agentů je obzvláště nebezpečný, protože se zaměřuje na důvěryhodný vztah mezi vývojáři a asistenty umělé inteligence. Technika markdown injection je navržena tak přesvědčivě, že agent umělé inteligence nedokáže rozlišit škodlivý obsah od autentických pokynů generovaných systémem Sentry.

Široká expozice a reakce dodavatelů

Výzkumníci údajně identifikovali nejméně 2 388 organizací s platnými a aplikovatelnými DSN Sentry, což zdůrazňuje potenciální rozsah problému.

Společnost Sentry zjištění uznala, ale údajně dospěla k závěru, že úplná technická oprava není proveditelná. Místo toho společnost implementovala globální mechanismus filtrování obsahu, jehož cílem je blokovat specifický známý vzorec dat spojený s útokem.

Agenti s umělou inteligencí se stávají novým útočným povrchem

Vznik Agentjackingu ukazuje, jak se asistenti kódování s využitím umělé inteligence rychle stávají novým a atraktivním povrchem pro útok. Místo cílení na tradiční bezpečnostní kontroly mohou útočníci zneužívat důvěryhodné datové toky, které organizace otevřeně zveřejňují.

Útok je schopen obejít mnoho konvenčních bezpečnostních technologií, včetně řešení pro detekci a reakci na koncové body (EDR), firewallů webových aplikací (WAF), systémů pro správu identit a přístupu (IAM), VPN, ochrany Cloudflare a tradičních firewallů. Protože se každá akce provedená během útočného řetězce jeví jako autorizovaná a legitimní, nemusí existovat žádná zjevná škodlivá aktivita, kterou by bezpečnostní nástroje mohly detekovat.

Vzhledem k tomu, že organizace urychlují zavádění vývoje softwaru s podporou umělé inteligence, Agentjacking slouží jako silná připomínka toho, že důvěra vkládaná do agentů umělé inteligence se sama o sobě může stát bezpečnostní zranitelností, pokud se s externími zdroji dat zachází jako s inherentně důvěryhodnými.

Procesor plateb společnosti EnigmaSoft Digital River GmbH Vyhlášení bankrotu nemá dopad na ochranu zákazníků SpyHunter proti malwaru

Vyhledávání

Změnit region