Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid Agentjacking-aanvallen

Agentjacking-aanvallen

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe aanvalstechniek ontdekt, bekend als Agentjacking. Deze methode maakt het mogelijk om programmeerassistenten met kunstmatige intelligentie te manipuleren, zodat ze door de aanvaller aangestuurde code uitvoeren op ontwikkelsystemen.

De aanval maakt gebruik van een vals foutrapport dat is gegenereerd via Sentry, het veelgebruikte open-source platform voor foutopsporing en prestatiebewaking. Volgens de onderzoekers komt de kwetsbaarheid voort uit een fundamentele architectuurzwakte in het mechanisme voor het verwerken van gebeurtenissen door Sentry en de integratie ervan met AI-systemen via het Model Context Protocol (MCP).

Omdat Sentry willekeurige gebeurtenispayloads accepteert van iedereen die een geldige Data Source Name (DSN) heeft, kunnen aanvallers kwaadaardige inhoud in foutrapporten injecteren. Wanneer deze rapporten later worden opgehaald door AI-codeerassistenten zoals Claude Code of Cursor via de Sentry MCP-server, kan de geïnjecteerde inhoud worden geïnterpreteerd als legitieme probleemoplossingsinstructies.

De architectonische fout achter de aanval

De kern van Agentjacking is een vertrouwensprobleem dat ontstaat door externe services die via MCP verbonden zijn. De Sentry MCP-server stuurt gebeurtenisgegevens als betrouwbare uitvoer naar AI-agenten, zelfs wanneer de gegevens afkomstig zijn van ongeverifieerde bronnen.

Hierdoor kunnen AI-codeeragenten niet betrouwbaar vaststellen of een foutmelding is veroorzaakt door een daadwerkelijke applicatiefout of opzettelijk is geïnjecteerd door een kwaadwillende actor. Dit onvermogen om betrouwbare inhoud te onderscheiden van kwaadaardige invoer creëert een mogelijkheid tot het uitvoeren van willekeurige code, telkens wanneer de agent de verstrekte instructies verwerkt en opvolgt.

Een succesvolle inbreuk kan zeer gevoelige informatie blootleggen, waaronder omgevingsvariabelen, Git-inloggegevens, privé-URL's van repositories en identiteitsgegevens van ontwikkelaars. Opvallend is dat de aanval geen phishingcampagnes, de inzet van malware of een voorafgaande inbreuk op de doelinfrastructuur vereist.

Hoe de Agentjacking-aanvalsketen werkt

De aanval ontvouwt zich in een reeks zorgvuldig georkestreerde fasen:

  • Een cybercrimineel achterhaalt het Sentry DSN van een doelorganisatie, een openbaar, alleen-schrijfbaar inloggegeven dat vaak in websites is ingebed.
  • Met behulp van het blootgestelde DSN wordt een kwaadwillige foutmelding via een POST-verzoek naar het Sentry-verwerkingspunt verzonden.
  • Het geïnjecteerde evenement bevat speciaal opgemaakte markdown-inhoud die is ingebed in berichtvelden en contextsleutelnamen.
  • Wanneer de Sentry MCP-server de gebeurtenis ophaalt, wordt de kwaadwillige inhoud weergegeven als gestructureerde informatie die visueel lijkt op legitieme, door Sentry gegenereerde instructies.
  • Vervolgens geeft een ontwikkelaar een AI-codeerassistent de opdracht om onopgeloste Sentry-problemen te onderzoeken of op te lossen.
  • De AI-agent raadpleegt Sentry via MCP en ontvangt de door de aanvaller gemanipuleerde gebeurtenis.
  • De kwaadwillige instructies worden behandeld als vertrouwde herstelstappen, waardoor de AI-agent de door de aanvaller aangeleverde code uitvoert met de rechten van de ontwikkelaar.

Waarom de aanval zo effectief is

Een van de meest verontrustende aspecten van agentjacking is dat aanvallers nooit rechtstreeks interactie hebben met de infrastructuur van het slachtoffer. In plaats daarvan worden kwaadaardige instructies verborgen in wat een normaal foutrapport lijkt te zijn.

Wanneer ontwikkelaars hulp vragen aan hun AI-codeeragenten, wordt het gemanipuleerde foutbericht geïnterpreteerd als een legitieme oplossingssuggestie. De AI-agent voert de instructies vervolgens uit op de computer van de ontwikkelaar, met gebruikmaking van diens eigen machtigingen.

Agentjacking is bijzonder gevaarlijk omdat het de vertrouwensrelatie tussen ontwikkelaars en AI-assistenten ondermijnt. De markdown-injectietechniek is zo overtuigend ontworpen dat de AI-agent het kwaadaardige materiaal niet kan onderscheiden van authentieke, door Sentry gegenereerde instructies.

Wijdverspreide blootstelling en reactie van de leverancier

Onderzoekers hebben naar verluidt minstens 2.388 organisaties geïdentificeerd met geldige en injecteerbare Sentry DSN's, wat de potentiële omvang van het probleem onderstreept.

Sentry heeft de bevindingen erkend, maar is naar verluidt tot de conclusie gekomen dat een volledige technische oplossing niet haalbaar is. In plaats daarvan heeft het bedrijf een wereldwijd contentfiltermechanisme geïmplementeerd dat bedoeld is om een specifiek, bekend payloadpatroon te blokkeren dat met de aanval in verband wordt gebracht.

AI-agenten worden het nieuwe aanvalsoppervlak.

De opkomst van agentjacking laat zien hoe AI-codeerassistenten snel een nieuw en aantrekkelijk aanvalsoppervlak worden. In plaats van zich te richten op traditionele beveiligingsmaatregelen, kunnen aanvallers misbruik maken van vertrouwde gegevensstromen die organisaties openlijk beschikbaar stellen.

De aanval kan veel conventionele beveiligingstechnologieën omzeilen, waaronder endpoint detection and response (EDR)-oplossingen, webapplicatiefirewalls (WAF's), identity and access management (IAM)-systemen, VPN's, Cloudflare-beveiliging en traditionele firewalls. Omdat elke actie tijdens de aanvalsketen geautoriseerd en legitiem lijkt, is er mogelijk geen duidelijke kwaadaardige activiteit die beveiligingstools kunnen detecteren.

Naarmate organisaties de toepassing van AI-ondersteunde softwareontwikkeling versnellen, dient Agentjacking als een krachtige herinnering dat het vertrouwen dat in AI-agenten wordt gesteld, zelf een beveiligingsrisico kan vormen wanneer externe gegevensbronnen als inherent betrouwbaar worden beschouwd.

 

Meest bekeken

Bezig met laden...