Multilicenčná zľavová ponuka
Databáza hrozieb Zraniteľnosť Útoky na krádeže agentov

Útoky na krádeže agentov

Do roku Mezo v roku Zraniteľnosť
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti objavili novú útočnú techniku známu ako Agentjacking, metódu schopnú manipulovať programátorov s umelou inteligenciou, aby spúšťali kód ovládaný útočníkom na vývojárskych systémoch.

Útok využíva falošnú chybovú správu generovanú prostredníctvom Sentry, široko používanej open-source platformy na sledovanie chýb a monitorovanie výkonu. Podľa výskumníkov zraniteľnosť pramení zo základnej architektonickej slabosti, ktorá zahŕňa mechanizmus prijímania udalostí Sentry a jeho integráciu so systémami umelej inteligencie prostredníctvom Model Context Protocol (MCP).

Keďže Sentry akceptuje ľubovoľné dáta udalostí od kohokoľvek, kto má platný názov zdroja údajov (DSN), útočníci môžu do chybových hlásení vložiť škodlivý obsah. Keď tieto hlásenia neskôr načítajú asistenti kódovania s umelou inteligenciou, ako napríklad Claude Code alebo Cursor, prostredníctvom servera Sentry MCP, vložený obsah môže byť interpretovaný ako legitímny návod na riešenie problémov.

Architektonická chyba za útokom

Jadrom Agentjackingu je problém s dôverou vytvorený externými službami pripojenými k MCP. Server Sentry MCP vracia dáta o udalostiach agentom AI ako dôveryhodný výstup, a to aj v prípade, že dáta pochádzajú z neoverených zdrojov.

V dôsledku toho agenti kódovania s umelou inteligenciou nedokážu spoľahlivo určiť, či chybová udalosť bola vygenerovaná skutočným zlyhaním aplikácie alebo či ju úmyselne vložil útočník. Táto neschopnosť rozlíšiť dôveryhodný obsah od škodlivého vstupu vytvára cestu k ľubovoľnému spusteniu kódu vždy, keď agent spracuje a postupuje podľa poskytnutých pokynov.

Úspešný kompromitujúci útok môže odhaliť vysoko citlivé informácie vrátane premenných prostredia, prihlasovacích údajov Gitu, URL adries súkromných repozitárov a údajov o identite vývojárov. Je pozoruhodné, že útok nevyžaduje phishingové kampane, nasadenie malvéru ani predchádzajúcu kompromitáciu cieľovej infraštruktúry.

Ako funguje reťazec útokov typu Agentjacking

Útok sa odohráva v sérii starostlivo zorganizovaných fáz:

  • Útočník identifikuje Sentry DSN cieľovej organizácie, čo je verejné prihlasovacie meno určené len na zápis, ktoré je bežne vložené do webových stránok.
  • Pomocou odhaleného DSN sa škodlivá chybová udalosť odošle do koncového bodu príjmu Sentry prostredníctvom požiadavky POST.
  • Vložená udalosť obsahuje špeciálne vytvorený obsah Markdownu vložený do polí správ a názvov kontextových kľúčov.
  • Keď server Sentry MCP načíta udalosť, škodlivý obsah sa vykreslí ako štruktúrované informácie, ktoré vizuálne pripomínajú legitímne pokyny generované systémom Sentry.
  • Vývojár následne poverí asistenta kódovania s umelou inteligenciou, aby preskúmal alebo vyriešil nevyriešené problémy so systémom Sentry.
  • Agent AI sa prostredníctvom MCP dotáže Sentry a prijme udalosť ovládanú útočníkom.
  • Škodlivé inštrukcie sa považujú za dôveryhodné kroky nápravy, čo vedie agenta umelej inteligencie k spusteniu kódu dodaného útočníkom s oprávneniami vývojára.

Prečo je útok taký účinný

Jedným z najobavujúcejších aspektov útoku Agentjacking je, že útočníci nikdy priamo neinteragujú s infraštruktúrou obete. Namiesto toho sú škodlivé pokyny skryté v niečom, čo vyzerá ako bežná chybová správa.

Keď vývojári požiadajú o pomoc svojich kódovacích agentov s umelou inteligenciou, manipulovaná chybová správa sa interpretuje ako legitímne odporúčanie na riešenie. Agent umelej inteligencie potom vykoná inštrukcie na počítači vývojára s použitím jeho vlastných oprávnení.

Únik agentov je obzvlášť nebezpečný, pretože sa zameriava na dôveryhodný vzťah medzi vývojármi a asistentmi umelej inteligencie. Technika vstrekovania markdownu je navrhnutá tak presvedčivo, že agent umelej inteligencie nedokáže rozlíšiť škodlivý obsah od autentických pokynov generovaných systémom Sentry.

Rozsiahla expozícia a reakcia dodávateľa

Výskumníci údajne identifikovali najmenej 2 388 organizácií s platnými a aplikovateľnými DSN Sentry, čo zdôrazňuje potenciálny rozsah problému.

Spoločnosť Sentry potvrdila zistenia, ale údajne dospela k záveru, že úplná technická oprava nie je možná. Namiesto toho spoločnosť implementovala globálny mechanizmus filtrovania obsahu, ktorý má blokovať špecifický známy vzorec užitočného zaťaženia spojený s útokom.

Agenti umelej inteligencie sa stávajú novým útočným povrchom

Vznik Agentjackingu demonštruje, ako sa asistenti kódovania s využitím umelej inteligencie rýchlo stávajú novým a atraktívnym povrchom pre útok. Namiesto zamerania sa na tradičné bezpečnostné kontroly môžu útočníci zneužiť dôveryhodné toky údajov, ktoré organizácie otvorene odhaľujú.

Útok je schopný obísť mnoho konvenčných bezpečnostných technológií vrátane riešení detekcie a reakcie na koncové body (EDR), firewallov webových aplikácií (WAF), systémov správy identít a prístupov (IAM), VPN, ochrany Cloudflare a tradičných firewallov. Keďže každá akcia vykonaná počas útočného reťazca sa javí ako autorizovaná a legitímna, nemusí existovať žiadna zjavná škodlivá aktivita, ktorú by bezpečnostné nástroje dokázali odhaliť.

Keďže organizácie zrýchľujú zavádzanie vývoja softvéru s pomocou umelej inteligencie, Agentjacking slúži ako silná pripomienka toho, že dôvera vkladaná do agentov umelej inteligencie sa môže sama o sebe stať bezpečnostnou zraniteľnosťou, keď sa s externými zdrojmi údajov zaobchádza ako s dôveryhodnými vo svojej podstate.

 

Načítava...