Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Serangan Pencurian Ejen

Serangan Pencurian Ejen

Menjelang Mezo pada Keterdedahan
Terjemahkan ke

Penyelidik keselamatan siber telah menemui satu teknik serangan baharu yang dikenali sebagai Agentjacking, satu kaedah yang mampu memanipulasi pembantu pengekodan kecerdasan buatan untuk melaksanakan kod yang dikawal penyerang pada sistem pembangun.

Serangan itu memanfaatkan laporan ralat palsu yang dijana melalui Sentry, platform pengesanan ralat dan pemantauan prestasi sumber terbuka yang digunakan secara meluas. Menurut para penyelidik, kerentanan itu berpunca daripada kelemahan seni bina asas yang melibatkan mekanisme pengambilan peristiwa Sentry dan penyepaduannya dengan sistem AI melalui Protokol Konteks Model (MCP).

Oleh kerana Sentry menerima muatan peristiwa sewenang-wenangnya daripada sesiapa sahaja yang memiliki Nama Sumber Data (DSN) yang sah, penyerang boleh menyuntik kandungan berniat jahat ke dalam laporan ralat. Apabila laporan ini kemudiannya diambil oleh pembantu pengekodan AI seperti Claude Code atau Cursor melalui pelayan Sentry MCP, kandungan yang disuntik mungkin ditafsirkan sebagai panduan penyelesaian masalah yang sah.

Kecacatan Senibina di Sebalik Serangan Itu

Teras Agentjacking ialah masalah kepercayaan yang dicipta oleh perkhidmatan luaran yang disambungkan ke MCP. Pelayan Sentry MCP mengembalikan data peristiwa kepada ejen AI sebagai output yang dipercayai, walaupun data tersebut berasal daripada sumber yang tidak disahkan.

Akibatnya, ejen pengekodan AI tidak dapat menentukan dengan pasti sama ada peristiwa ralat dijana oleh kegagalan aplikasi yang tulen atau sengaja disuntik oleh pelaku ancaman. Ketidakupayaan untuk membezakan kandungan yang dipercayai daripada input berniat jahat ini mewujudkan laluan kepada pelaksanaan kod sewenang-wenangnya setiap kali ejen memproses dan mengikuti arahan yang diberikan.

Kompromi yang berjaya boleh mendedahkan maklumat yang sangat sensitif, termasuk pembolehubah persekitaran, kelayakan Git, URL repositori peribadi dan data identiti pembangun. Terutamanya, serangan itu tidak memerlukan kempen pancingan data, penggunaan perisian hasad atau kompromi infrastruktur sasaran terlebih dahulu.

Bagaimana Rantaian Serangan Ejen Jacking Berfungsi

Serangan itu berlaku melalui beberapa peringkat yang dirancang dengan teliti:

  • Pelakon ancaman mengenal pasti Sentry DSN organisasi sasaran, iaitu kelayakan tulis sahaja awam yang biasanya disematkan dalam laman web.
  • Menggunakan DSN yang terdedah, peristiwa ralat berniat jahat dihantar ke titik akhir pengingesan Sentry melalui permintaan POST.
  • Peristiwa yang disuntik mengandungi kandungan penurunan harga yang direka khas yang dibenamkan dalam medan mesej dan nama kunci konteks.
  • Apabila pelayan Sentry MCP mengambil peristiwa tersebut, kandungan berniat jahat dipaparkan sebagai maklumat berstruktur yang secara visual menyerupai panduan yang dijana oleh Sentry yang sah.
  • Seorang pembangun kemudiannya mengarahkan pembantu pengekodan AI untuk menyiasat atau menyelesaikan isu Sentry yang tidak dapat diselesaikan.
  • Ejen AI bertanya kepada Sentry melalui MCP dan menerima peristiwa yang dikawal oleh penyerang.
  • Arahan berniat jahat dianggap sebagai langkah pemulihan yang dipercayai, yang mendorong ejen AI untuk melaksanakan kod yang dibekalkan oleh penyerang dengan keistimewaan pembangun.

Mengapa Serangan Itu Begitu Berkesan

Salah satu aspek yang paling membimbangkan dalam Agentjacking ialah penyerang tidak pernah berinteraksi secara langsung dengan infrastruktur mangsa. Sebaliknya, arahan berniat jahat tersembunyi dalam apa yang kelihatan seperti laporan ralat biasa.

Apabila pembangun meminta bantuan daripada ejen pengekodan AI mereka, mesej ralat yang dimanipulasi ditafsirkan sebagai cadangan penyelesaian yang sah. Ejen AI kemudiannya melaksanakan arahan pada mesin pembangun menggunakan kebenaran pembangun sendiri.

Pencurian ejen amat berbahaya kerana ia menyasarkan hubungan yang dipercayai antara pembangun dan pembantu AI. Teknik suntikan penurunan harga direka bentuk dengan begitu meyakinkan sehingga ejen AI tidak dapat membezakan kandungan berniat jahat daripada panduan asli yang dijana oleh Sentry.

Pendedahan Meluas dan Respons Vendor

Para penyelidik dilaporkan mengenal pasti sekurang-kurangnya 2,388 organisasi dengan Sentry DSN yang sah dan boleh disuntik, sekali gus menonjolkan potensi skala isu tersebut.

Sentry telah mengakui penemuan tersebut tetapi dilaporkan menyimpulkan bahawa pembaikan teknikal yang lengkap tidak dapat dilaksanakan. Sebaliknya, syarikat itu telah melaksanakan mekanisme penapisan kandungan global yang bertujuan untuk menyekat corak muatan tertentu yang diketahui berkaitan dengan serangan tersebut.

Ejen AI Menjadi Permukaan Serangan Baharu

Kemunculan Agentjacking menunjukkan bagaimana pembantu pengekodan AI dengan pantas menjadi permukaan serangan baharu dan menarik. Daripada menyasarkan kawalan keselamatan tradisional, pihak musuh boleh mengeksploitasi aliran data yang dipercayai yang didedahkan secara terbuka oleh organisasi.

Serangan ini mampu memintas banyak teknologi keselamatan konvensional, termasuk penyelesaian pengesanan dan tindak balas titik akhir (EDR), tembok api aplikasi web (WAF), sistem pengurusan identiti dan akses (IAM), VPN, perlindungan Cloudflare dan tembok api tradisional. Oleh kerana setiap tindakan yang dilakukan semasa rantaian serangan kelihatan dibenarkan dan sah, mungkin tiada aktiviti berniat jahat yang jelas untuk dikesan oleh alatan keselamatan.

Ketika organisasi mempercepatkan penggunaan pembangunan perisian berbantukan AI, Agentjacking berfungsi sebagai peringatan yang kuat bahawa kepercayaan yang diberikan kepada ejen AI itu sendiri boleh menjadi kelemahan keselamatan apabila sumber data luaran dianggap sebagai sesuatu yang boleh dipercayai.

 

Memuatkan...