Rabattilbud med flere licenser
Trusseldatabase Sårbarhed Agentjacking-angreb

Agentjacking-angreb

Med Mezo i Sårbarhed
Oversæt til:

Cybersikkerhedsforskere har afdækket en ny angrebsteknik kendt som Agentjacking, en metode, der er i stand til at manipulere kunstig intelligens-kodningsassistenter til at udføre angriberkontrolleret kode på udviklersystemer.

Angrebet udnytter en falsk fejlrapport genereret via Sentry, den udbredte open source-platform til fejlsporing og ydeevneovervågning. Ifølge forskerne stammer sårbarheden fra en grundlæggende arkitektonisk svaghed, der involverer Sentrys mekanisme til indtagelse af hændelser og dens integration med AI-systemer via Model Context Protocol (MCP).

Da Sentry accepterer vilkårlige hændelsesnyttelaster fra alle med et gyldigt datakildenavn (DSN), kan angribere indsætte skadeligt indhold i fejlrapporter. Når disse rapporter senere hentes af AI-kodningsassistenter som Claude Code eller Cursor via Sentry MCP-serveren, kan det indsprøjtede indhold fortolkes som legitim fejlfindingsvejledning.

Den arkitektoniske fejl bag angrebet

Kernen i Agentjacking er et tillidsproblem skabt af MCP-forbundne eksterne tjenester. Sentry MCP-serveren returnerer hændelsesdata til AI-agenter som betroet output, selv når dataene stammer fra ubekræftede kilder.

Som følge heraf kan AI-kodningsagenter ikke pålideligt afgøre, om en fejlhændelse blev genereret af en ægte applikationsfejl eller bevidst injiceret af en trusselsaktør. Denne manglende evne til at skelne pålideligt indhold fra ondsindet input skaber en vej til vilkårlig kodeudførelse, når agenten behandler og følger de givne instruktioner.

En vellykket kompromittering kan afsløre meget følsomme oplysninger, herunder miljøvariabler, Git-legitimationsoplysninger, private arkiv-URL'er og udvikleridentitetsdata. Bemærkelsesværdigt kræver angrebet ikke phishing-kampagner, malware-implementering eller forudgående kompromittering af målinfrastrukturen.

Sådan fungerer Agentjacking-angrebskæden

Angrebet udfolder sig gennem en række omhyggeligt orkestrerede faser:

  • En trusselsaktør identificerer en målorganisations Sentry DSN, en offentlig skrivebeskyttet legitimationsoplysninger, der almindeligvis er integreret på websteder.
  • Ved hjælp af det eksponerede DSN sendes en ondsindet fejlhændelse til Sentrys indtagelsesslutpunkt via en POST-anmodning.
  • Den indsprøjtede hændelse indeholder specielt udformet markdown-indhold, der er indlejret i meddelelsesfelter og kontekstnøglenavne.
  • Når Sentry MCP-serveren henter hændelsen, gengives det skadelige indhold som struktureret information, der visuelt ligner legitim Sentry-genereret vejledning.
  • En udvikler instruerer efterfølgende en AI-kodningsassistent i at undersøge eller løse uløste Sentry-problemer.
  • AI-agenten forespørger Sentry via MCP og modtager den angriberstyrede hændelse.
  • De ondsindede instruktioner behandles som betroede afhjælpningstrin, der får AI-agenten til at udføre angriberleveret kode med udviklerens rettigheder.

Hvorfor angrebet er så effektivt

Et af de mest bekymrende aspekter ved Agentjacking er, at angribere aldrig interagerer direkte med offerets infrastruktur. I stedet skjules ondsindede instruktioner i det, der ser ud til at være en normal fejlrapport.

Når udviklere anmoder om hjælp fra deres AI-kodningsagenter, fortolkes den manipulerede fejlmeddelelse som en legitim løsningsanbefaling. AI-agenten udfører derefter instruktionerne på udviklerens maskine ved hjælp af udviklerens egne tilladelser.

Agentjacking er særligt farligt, fordi det rammer det tillidsfulde forhold mellem udviklere og AI-assistenter. Markdown-injektionsteknikken er designet så overbevisende, at AI-agenten ikke kan skelne det skadelige indhold fra autentisk Sentry-genereret vejledning.

Udbredt eksponering og leverandørrespons

Forskere identificerede angiveligt mindst 2.388 organisationer med gyldige og injicerbare Sentry DSN'er, hvilket fremhæver problemets potentielle omfang.

Sentry har anerkendt resultaterne, men angiveligt konkluderet, at en komplet teknisk løsning ikke er mulig. I stedet har virksomheden implementeret en global indholdsfiltreringsmekanisme, der har til formål at blokere et specifikt kendt nyttelastmønster forbundet med angrebet.

AI-agenter bliver den nye angrebsflade

Fremkomsten af Agentjacking demonstrerer, hvordan AI-kodningsassistenter hurtigt er ved at blive en ny og attraktiv angrebsflade. I stedet for at målrette traditionelle sikkerhedskontroller kan modstandere udnytte pålidelige datastrømme, som organisationer åbent eksponerer.

Angrebet er i stand til at omgå mange konventionelle sikkerhedsteknologier, herunder EDR-løsninger (endpoint detection and response), webapplikationsfirewalls (WAF'er), identitets- og adgangsstyringssystemer (IAM), VPN'er, Cloudflare-beskyttelse og traditionelle firewalls. Fordi hver handling, der udføres under angrebskæden, fremstår autoriseret og legitim, er der muligvis ingen åbenlys ondsindet aktivitet, som sikkerhedsværktøjer kan opdage.

I takt med at organisationer accelererer implementeringen af AI-assisteret softwareudvikling, fungerer Agentjacking som en stærk påmindelse om, at den tillid, der vises AI-agenter, i sig selv kan blive en sikkerhedssårbarhed, når eksterne datakilder behandles som iboende troværdige.

 

Mest sete

Indlæser...