Agentjacking Attacks

חוקרי אבטחת סייבר חשפו טכניקת תקיפה חדשה המכונה Agentjacking, שיטה המסוגלת לתמרן עוזרי קידוד של בינה מלאכותית כדי שיפעילו קוד הנשלט על ידי תוקף על מערכות מפתחים.

ההתקפה מנצלת דוח שגיאות מזויף שנוצר באמצעות Sentry, פלטפורמת מעקב שגיאות וניטור ביצועים בקוד פתוח הנפוצה. לדברי החוקרים, הפגיעות נובעת מחולשה ארכיטקטונית בסיסית הקשורה למנגנון קליטת האירועים של Sentry ולשילובו עם מערכות בינה מלאכותית באמצעות פרוטוקול Model Context (MCP).

מכיוון ש-Sentry מקבלת טעינות אירועים שרירותיות מכל אדם בעל שם מקור נתונים (DSN) תקף, תוקפים יכולים להחדיר תוכן זדוני לדוחות שגיאה. כאשר דוחות אלה מאוחזרים מאוחר יותר על ידי עוזרי קידוד בינה מלאכותית כמו Claude Code או Cursor דרך שרת Sentry MCP, התוכן שהוזרק עשוי להתפרש כהנחיה לגיטימית לפתרון בעיות.

הפגם האדריכלי מאחורי הפיגוע

בליבת חטיפת ה-Agentjacking עומדת בעיית אמון שנוצרת על ידי שירותים חיצוניים המחוברים ל-MCP. שרת ה-MCP של Sentry מחזיר נתוני אירועים לסוכני בינה מלאכותית כפלט מהימן, גם כאשר הנתונים מגיעים ממקורות לא מאומתים.

כתוצאה מכך, סוכני קידוד של בינה מלאכותית אינם יכולים לקבוע באופן מהימן האם אירוע שגיאה נוצר על ידי כשל אמיתי של יישום או הוזרק במכוון על ידי גורם איום. חוסר יכולת זה להבחין בין תוכן מהימן לבין קלט זדוני יוצר נתיב להרצת קוד שרירותית בכל פעם שהסוכן מעבד ומבצע את ההוראות שסופקו.

פריצה מוצלחת עלולה לחשוף מידע רגיש ביותר, כולל משתני סביבה, אישורי Git, כתובות URL של מאגרים פרטיים ונתוני זהות מפתחים. ראוי לציין כי ההתקפה אינה דורשת קמפיינים של פישינג, פריסת תוכנות זדוניות או פריצה מוקדמת של התשתית המטרה.

כיצד פועלת שרשרת התקפות חטיפת סוכנים

ההתקפה מתפתחת דרך סדרה של שלבים מתואמים בקפידה:

• גורם איום מזהה את ה-Sentry DSN של ארגון יעד, אישור כתיבה בלבד ציבורי המוטמע בדרך כלל באתרי אינטרנט.
• באמצעות ה-DSN החשוף, אירוע שגיאה זדוני נשלח לנקודת הקצה של הבליעה של Sentry באמצעות בקשת POST.
• האירוע המוזרק מכיל תוכן markdown שנוצר במיוחד, המוטמע בתוך שדות הודעה ושמות מפתחות הקשר.
• כאשר שרת ה-MCP של Sentry מאחזר את האירוע, התוכן הזדוני מוצג כמידע מובנה הדומה ויזואלית להנחיות לגיטימיות שנוצרו על ידי Sentry.
• מפתח מורה לאחר מכן לעוזר קידוד של בינה מלאכותית לחקור או לפתור בעיות לא פתורות של Sentry.

• סוכן הבינה המלאכותית שואל את Sentry דרך MCP ומקבל את האירוע הנשלט על ידי התוקף.

• ההוראות הזדוניות מטופלות כצעדי תיקון מהימנים, המובילים את סוכן הבינה המלאכותית לבצע קוד שסופק על ידי התוקף עם הרשאות המפתח.

למה ההתקפה כל כך יעילה

אחד ההיבטים המדאיגים ביותר של חטיפת סוכנים הוא שתוקפים לעולם לא מקיימים אינטראקציה ישירה עם התשתית של הקורבן. במקום זאת, הוראות זדוניות מוסתרות בתוך מה שנראה כדו"ח שגיאה רגיל.

כאשר מפתחים מבקשים סיוע מסוכני קידוד הבינה המלאכותית שלהם, הודעת השגיאה המנוטרלת מתפרשת כהמלצה לגיטימית לפתרון. לאחר מכן, סוכן הבינה המלאכותית מבצע את ההוראות במחשב של המפתח באמצעות הרשאותיו שלו.

חטיפת סוכנים מסוכנת במיוחד משום שהיא מכוונת ליחסי האמון בין מפתחים לעוזרי בינה מלאכותית. טכניקת הזרקת ה-markdown תוכננה בצורה כה משכנעת שסוכן הבינה המלאכותית אינו יכול להבחין בין תוכן זדוני להנחיות אותנטיות שנוצרו על ידי Sentry.

חשיפה נרחבת ותגובת ספקים

חוקרים זיהו, על פי הדיווחים, לפחות 2,388 ארגונים עם רישומי Sentry DSN תקפים וניתנים להזרקה, מה שהדגיש את היקף הבעיה הפוטנציאלי.

סנטרי הודתה בממצאים אך דווחה כי תיקון טכני מלא אינו בר ביצוע. במקום זאת, החברה יישמה מנגנון סינון תוכן גלובלי שנועד לחסום דפוס מטען ידוע ספציפי הקשור למתקפה.

סוכני בינה מלאכותית הופכים למשטח ההתקפה החדש

הופעתה של חטיפת סוכנים מדגימה כיצד עוזרי קידוד של בינה מלאכותית הופכים במהירות למשטח תקיפה חדש ומושך. במקום להתמקד בבקרות אבטחה מסורתיות, יריבים יכולים לנצל זרימות נתונים מהימנות שארגונים חושפים בגלוי.

ההתקפה מסוגלת לעקוף טכנולוגיות אבטחה קונבנציונליות רבות, כולל פתרונות לזיהוי ותגובה לנקודות קצה (EDR), חומות אש של יישומי אינטרנט (WAFs), מערכות ניהול זהויות וגישה (IAM), רשתות VPN, הגנות Cloudflare וחומות אש מסורתיות. מכיוון שכל פעולה המבוצעת במהלך שרשרת ההתקפה נראית מורשית ולגיטימית, ייתכן שלא תהיה פעילות זדונית ברורה שכלי אבטחה יוכלו לזהות.

ככל שארגונים מאיצים את אימוץ פיתוח תוכנה בסיוע בינה מלאכותית, חטיפת סוכנים משמשת כתזכורת רבת עוצמה לכך שהאמון שניתן בסוכני בינה מלאכותית יכול להפוך בעצמו לפגיעות אבטחה כאשר מקורות נתונים חיצוניים מטופלים כאמינים מטבעם.