Agentų vagystės atakos

Autorius Mezo, Pažeidžiamumas

Versti į:

Kibernetinio saugumo tyrėjai atrado naują atakos techniką, vadinamą „Agentjacking“ – metodą, galintį manipuliuoti dirbtinio intelekto kodavimo asistentais, kad jie vykdytų užpuoliko kontroliuojamą kodą kūrėjų sistemose.

Ataka pasinaudoja netikra klaidų ataskaita, sugeneruota per „Sentry“ – plačiai naudojamą atvirojo kodo klaidų stebėjimo ir našumo stebėjimo platformą. Pasak tyrėjų, pažeidžiamumas kyla dėl esminio architektūrinio trūkumo, susijusio su „Sentry“ įvykių įrašymo mechanizmu ir jo integracija su dirbtinio intelekto sistemomis per modelio konteksto protokolą (MCP).

Kadangi „Sentry“ priima savavališkus įvykių duomenis iš bet ko, turinčio galiojantį duomenų šaltinio pavadinimą (DSN), užpuolikai gali į klaidų ataskaitas įterpti kenkėjišką turinį. Kai šias ataskaitas vėliau per „Sentry MCP“ serverį gauna dirbtinio intelekto kodavimo asistentai, tokie kaip „Claude Code“ ar „Cursor“, įterptas turinys gali būti interpretuojamas kaip teisėtos trikčių šalinimo gairės.

Turinys

Architektūrinis trūkumas, slypintis už atakos

Agentų nutekinimo (Agentjacking) esmė – pasitikėjimo problema, kurią sukelia prie MCP prijungtos išorinės paslaugos. „Sentry“ MCP serveris grąžina įvykių duomenis dirbtinio intelekto agentams kaip patikimą išvestį, net jei duomenys gauti iš nepatikrintų šaltinių.

Dėl to dirbtinio intelekto kodavimo agentai negali patikimai nustatyti, ar klaidos įvykį sugeneravo tikra programos klaida, ar ją tyčia įterpė grėsmės subjektas. Šis nesugebėjimas atskirti patikimo turinio nuo kenkėjiškos įvesties sukuria kelią savavališkam kodo vykdymui, kai agentas apdoroja ir vykdo pateiktas instrukcijas.

Sėkmingas įsilaužimas gali atskleisti labai slaptą informaciją, įskaitant aplinkos kintamuosius, „Git“ prisijungimo duomenis, privačių saugyklų URL ir kūrėjo tapatybės duomenis. Pažymėtina, kad atakai nereikia sukčiavimo kampanijų, kenkėjiškų programų diegimo ar išankstinio tikslinės infrastruktūros užpuolimo.

Kaip veikia agentų vagystės atakų grandinė

Ataka vyksta per kruopščiai suplanuotus etapus:

Grėsmės veikėjas identifikuoja tikslinės organizacijos „Sentry DSN“ – viešą, tik rašymo teise saugomą kredencialą, dažniausiai įterptą į svetaines.
Naudojant atskleistą DSN, kenkėjiška klaidos ataskaita pateikiama „Sentry“ įrašymo galiniam punktui per POST užklausą.
Įterptame įvykyje yra specialiai sukurtas „markdown“ turinys, įterptas į pranešimų laukus ir kontekstinių raktų pavadinimus.
Kai „Sentry MCP“ serveris nuskaito įvykį, kenkėjiškas turinys pateikiamas kaip struktūrizuota informacija, kuri vizualiai primena teisėtus „Sentry“ sugeneruotus nurodymus.
Vėliau kūrėjas nurodo dirbtinio intelekto kodavimo asistentui ištirti arba išspręsti neišspręstas „Sentry“ problemas.

Dirbtinio intelekto agentas užklausia „Sentry“ per MCP ir gauna užpuoliko kontroliuojamą įvykį.

Kenkėjiškos instrukcijos traktuojamos kaip patikimi taisomieji veiksmai, todėl dirbtinio intelekto agentas vykdo užpuoliko pateiktą kodą su kūrėjo teisėmis.

Kodėl ataka tokia veiksminga

Vienas labiausiai nerimą keliančių „Agentjacking“ aspektų yra tai, kad užpuolikai niekada tiesiogiai nesikiša į aukos infrastruktūrą. Vietoj to, kenkėjiškos instrukcijos yra paslėptos tame, kas atrodo kaip įprasta klaidų ataskaita.

Kai kūrėjai prašo pagalbos iš savo dirbtinio intelekto kodavimo agentų, manipuliuota klaidos žinutė interpretuojama kaip teisėta problemos sprendimo rekomendacija. Tada dirbtinio intelekto agentas vykdo instrukcijas kūrėjo kompiuteryje, naudodamas kūrėjo teises.

Agentų vagystė yra ypač pavojinga, nes ji taikoma patikimiems kūrėjų ir dirbtinio intelekto asistentų santykiams. Žymėjimo injekcijos technika sukurta taip įtikinamai, kad dirbtinio intelekto agentas negali atskirti kenkėjiško turinio nuo autentiškų „Sentry“ sugeneruotų nurodymų.

Platus poveikis ir tiekėjų reakcija

Pranešama, kad tyrėjai nustatė mažiausiai 2388 organizacijas su galiojančiais ir įšvirkščiamais „Sentry“ DSN, o tai pabrėžia galimą problemos mastą.

„Sentry“ pripažino išvadas, tačiau, kaip pranešama, padarė išvadą, kad visiškas techninis sprendimas neįmanomas. Vietoj to, bendrovė įdiegė pasaulinį turinio filtravimo mechanizmą, skirtą blokuoti konkretų žinomą su ataka susijusį naudingosios apkrovos modelį.

Dirbtinio intelekto agentai tampa nauju atakos paviršiumi

Agentų nutekinimo (Agentjacking) atsiradimas rodo, kaip dirbtinio intelekto kodavimo asistentai sparčiai tampa nauja ir patrauklia atakų priemone. Užuot taikęsi į tradicines saugumo kontrolės priemones, priešininkai gali išnaudoti patikimus duomenų srautus, kuriuos organizacijos atvirai atskleidžia.

Ši ataka gali apeiti daugelį įprastų saugumo technologijų, įskaitant galinių taškų aptikimo ir reagavimo (EDR) sprendimus, žiniatinklio programų užkardas (WAF), tapatybės ir prieigos valdymo (IAM) sistemas, VPN, „Cloudflare“ apsaugą ir tradicines užkardas. Kadangi kiekvienas atakos grandinės metu atliktas veiksmas atrodo įgaliotas ir teisėtas, saugumo įrankiai gali neaptikti jokios akivaizdžios kenkėjiškos veiklos.

Organizacijoms vis sparčiau diegiant dirbtinio intelekto (DI) pagrindu veikiančią programinės įrangos kūrimą, „Agentjacking“ yra svarbus priminimas, kad pasitikėjimas DI agentais pats savaime gali tapti saugumo pažeidžiamumu, kai išoriniai duomenų šaltiniai traktuojami kaip iš esmės patikimi.

„EnigmaSoft“ mokėjimų procesorius „Digital River GmbH“ pareiškimas dėl bankroto neturi įtakos „SpyHunter“ klientų apsaugai nuo kenkėjiškų programų

Paieška

Keisti regioną