ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ความเสี่ยง การโจมตีแบบ Agentjacking

การโจมตีแบบ Agentjacking

โดย Mezo ใน ความเสี่ยง
แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบเทคนิคการโจมตีแบบใหม่ที่เรียกว่า Agentjacking ซึ่งเป็นวิธีการที่สามารถควบคุมผู้ช่วยเขียนโค้ดปัญญาประดิษฐ์ให้รันโค้ดที่ผู้โจมตีควบคุมบนระบบของนักพัฒนาได้

การโจมตีนี้ใช้ประโยชน์จากรายงานข้อผิดพลาดปลอมที่สร้างขึ้นผ่าน Sentry ซึ่งเป็นแพลตฟอร์มโอเพนซอร์สที่ใช้กันอย่างแพร่หลายในการติดตามข้อผิดพลาดและตรวจสอบประสิทธิภาพ นักวิจัยระบุว่าช่องโหว่นี้เกิดจากจุดอ่อนทางสถาปัตยกรรมพื้นฐานที่เกี่ยวข้องกับกลไกการรับเหตุการณ์ของ Sentry และการบูรณาการกับระบบ AI ผ่านโปรโตคอล Model Context Protocol (MCP)

เนื่องจาก Sentry ยอมรับข้อมูลเหตุการณ์ใดๆ ก็ได้จากทุกคนที่มีชื่อแหล่งข้อมูล (DSN) ที่ถูกต้อง ผู้โจมตีจึงสามารถแทรกเนื้อหาที่เป็นอันตรายลงในรายงานข้อผิดพลาดได้ เมื่อรายงานเหล่านี้ถูกดึงข้อมูลในภายหลังโดยผู้ช่วยการเขียนโค้ด AI เช่น Claude Code หรือ Cursor ผ่านเซิร์ฟเวอร์ Sentry MCP เนื้อหาที่ถูกแทรกเข้าไปอาจถูกตีความว่าเป็นคำแนะนำในการแก้ไขปัญหาที่ถูกต้อง

ข้อบกพร่องทางสถาปัตยกรรมที่อยู่เบื้องหลังการโจมตี

หัวใจสำคัญของ Agentjacking คือปัญหาด้านความไว้วางใจที่เกิดจากบริการภายนอกที่เชื่อมต่อกับ MCP เซิร์ฟเวอร์ Sentry MCP จะส่งข้อมูลเหตุการณ์กลับไปยังเอเจนต์ AI ในรูปแบบเอาต์พุตที่เชื่อถือได้ แม้ว่าข้อมูลนั้นจะมาจากแหล่งที่ไม่ได้รับการตรวจสอบก็ตาม

ด้วยเหตุนี้ เอเจนต์การเขียนโค้ด AI จึงไม่สามารถระบุได้อย่างน่าเชื่อถือว่าเหตุการณ์ข้อผิดพลาดนั้นเกิดจากความล้มเหลวของแอปพลิเคชันจริงหรือถูกแทรกเข้ามาโดยเจตนาจากผู้คุกคาม ความไม่สามารถในการแยกแยะเนื้อหาที่เชื่อถือได้ออกจากอินพุตที่เป็นอันตรายนี้ สร้างช่องทางให้เกิดการเรียกใช้โค้ดตามอำเภอใจได้ทุกครั้งที่เอเจนต์ประมวลผลและปฏิบัติตามคำสั่งที่ได้รับ

การโจมตีที่ประสบความสำเร็จสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนอย่างยิ่ง รวมถึงตัวแปรสภาพแวดล้อม ข้อมูลรับรอง Git URL ของที่เก็บข้อมูลส่วนตัว และข้อมูลประจำตัวของนักพัฒนา ที่สำคัญ การโจมตีนี้ไม่จำเป็นต้องใช้แคมเปญฟิชชิ่ง การติดตั้งมัลแวร์ หรือการเจาะระบบโครงสร้างพื้นฐานเป้าหมายมาก่อน

วิธีการทำงานของห่วงโซ่การโจมตี Agentjacking

การโจมตีเกิดขึ้นผ่านขั้นตอนที่วางแผนไว้อย่างรอบคอบหลายขั้นตอน:

  • ผู้โจมตีระบุ Sentry DSN ขององค์กรเป้าหมาย ซึ่งเป็นข้อมูลประจำตัวสาธารณะแบบเขียนได้อย่างเดียวที่มักฝังอยู่ภายในเว็บไซต์
  • โดยใช้ DSN ที่เปิดเผยอยู่นั้น เหตุการณ์ข้อผิดพลาดที่เป็นอันตรายจะถูกส่งไปยังเอนด์พอยต์การรับข้อมูลของ Sentry ผ่านคำขอ POST
  • อีเวนต์ที่ถูกแทรกเข้าไปนั้นประกอบด้วยเนื้อหา Markdown ที่สร้างขึ้นเป็นพิเศษ ซึ่งฝังอยู่ภายในฟิลด์ข้อความและชื่อคีย์บริบท
  • เมื่อเซิร์ฟเวอร์ Sentry MCP ดึงข้อมูลเหตุการณ์ ระบบจะแสดงผลเนื้อหาที่เป็นอันตรายในรูปแบบข้อมูลที่มีโครงสร้าง ซึ่งมีลักษณะคล้ายคลึงกับคำแนะนำที่สร้างโดย Sentry อย่างถูกต้องตามกฎหมาย
  • ต่อมา นักพัฒนาซอฟต์แวร์ได้สั่งให้ผู้ช่วยเขียนโค้ด AI ตรวจสอบหรือแก้ไขปัญหา Sentry ที่ยังแก้ไม่ตก
  • เอージェนต์ AI สอบถามข้อมูลจาก Sentry ผ่าน MCP และได้รับเหตุการณ์ที่ผู้โจมตีควบคุมไว้
  • คำสั่งที่เป็นอันตรายจะถูกมองว่าเป็นขั้นตอนการแก้ไขที่น่าเชื่อถือ ทำให้เอเจนต์ AI ดำเนินการโค้ดที่ผู้โจมตีจัดหามาโดยใช้สิทธิ์ของผู้พัฒนา

    • เหตุใดการโจมตีจึงได้ผลอย่างมาก

    หนึ่งในแง่มุมที่น่ากังวลที่สุดของการโจมตีแบบ Agentjacking คือผู้โจมตีจะไม่โต้ตอบกับโครงสร้างพื้นฐานของเหยื่อโดยตรง แต่จะซ่อนคำสั่งที่เป็นอันตรายไว้ภายในรายงานข้อผิดพลาดที่ดูเหมือนปกติ

    เมื่อนักพัฒนาขอความช่วยเหลือจากตัวแทนเขียนโค้ด AI ข้อความแสดงข้อผิดพลาดที่ถูกดัดแปลงจะถูกตีความว่าเป็นคำแนะนำในการแก้ไขปัญหาที่ถูกต้อง จากนั้นตัวแทน AI จะดำเนินการตามคำสั่งบนเครื่องของนักพัฒนาโดยใช้สิทธิ์ของนักพัฒนาเอง

    การโจมตีแบบ Agentjacking นั้นอันตรายอย่างยิ่ง เพราะมันมุ่งเป้าไปที่ความสัมพันธ์ที่ไว้วางใจได้ระหว่างนักพัฒนาและผู้ช่วย AI เทคนิคการแทรกโค้ด Markdown นั้นถูกออกแบบมาอย่างแนบเนียนจนตัวแทน AI ไม่สามารถแยกแยะเนื้อหาที่เป็นอันตรายออกจากคำแนะนำที่สร้างโดย Sentry ได้อย่างแท้จริง

    การเปิดเผยในวงกว้างและการตอบสนองของผู้ขาย

    รายงานระบุว่า นักวิจัยพบองค์กรอย่างน้อย 2,388 แห่งที่มี Sentry DSN ที่ถูกต้องและสามารถฉีดข้อมูลได้ ซึ่งแสดงให้เห็นถึงขอบเขตที่อาจเกิดขึ้นของปัญหาดังกล่าว

    บริษัท Sentry ยอมรับข้อค้นพบดังกล่าวแล้ว แต่มีรายงานว่าได้สรุปว่าการแก้ไขปัญหาทางเทคนิคอย่างสมบูรณ์นั้นเป็นไปไม่ได้ ดังนั้น บริษัทจึงได้นำกลไกการกรองเนื้อหาทั่วโลกมาใช้เพื่อบล็อกรูปแบบเพย์โหลดเฉพาะที่ทราบกันดีว่าเกี่ยวข้องกับการโจมตีนี้

    ตัวแทน AI กลายเป็นช่องทางโจมตีใหม่

    การเกิดขึ้นของ Agentjacking แสดงให้เห็นว่าผู้ช่วยเขียนโค้ด AI กำลังกลายเป็นช่องทางโจมตีใหม่และน่าสนใจอย่างรวดเร็ว แทนที่จะมุ่งเป้าไปที่การควบคุมความปลอดภัยแบบดั้งเดิม ผู้โจมตีสามารถใช้ประโยชน์จากกระแสข้อมูลที่เชื่อถือได้ซึ่งองค์กรเปิดเผยอย่างเปิดเผยได้

    การโจมตีนี้สามารถหลีกเลี่ยงเทคโนโลยีความปลอดภัยแบบดั้งเดิมได้หลายอย่าง รวมถึงโซลูชันการตรวจจับและตอบสนองปลายทาง (EDR), ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF), ระบบการจัดการข้อมูลประจำตัวและการเข้าถึง (IAM), VPN, การป้องกันของ Cloudflare และไฟร์วอลล์แบบดั้งเดิม เนื่องจากทุกการกระทำที่เกิดขึ้นในระหว่างห่วงโซ่การโจมตีดูเหมือนจะได้รับอนุญาตและถูกต้องตามกฎหมาย จึงอาจไม่มีกิจกรรมที่เป็นอันตรายที่ชัดเจนให้เครื่องมือรักษาความปลอดภัยตรวจจับได้

    ในขณะที่องค์กรต่างๆ เร่งการนำซอฟต์แวร์ที่ใช้ AI มาใช้ในการพัฒนาซอฟต์แวร์ กรณี Agentjacking เป็นเครื่องเตือนใจที่สำคัญว่า ความไว้วางใจที่มอบให้กับ AI นั้นอาจกลายเป็นช่องโหว่ด้านความปลอดภัยได้ เมื่อแหล่งข้อมูลภายนอกถูกมองว่าน่าเชื่อถือโดยเนื้อแท้

    กำลังโหลด...