Mga Pag-atake ng Agentjacking

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong pamamaraan ng pag-atake na kilala bilang Agentjacking, isang pamamaraan na may kakayahang manipulahin ang mga artificial intelligence coding assistant upang maisagawa ang attacker-controlled code sa mga developer system.

Ang pag-atake ay gumagamit ng pekeng ulat ng error na nabuo sa pamamagitan ng Sentry, ang malawakang ginagamit na open-source error tracking at performance monitoring platform. Ayon sa mga mananaliksik, ang kahinaan ay nagmumula sa isang pangunahing kahinaan sa arkitektura na kinasasangkutan ng mekanismo ng Sentry sa pag-integrate ng kaganapan at ang integrasyon nito sa mga sistema ng AI sa pamamagitan ng Model Context Protocol (MCP).

Dahil tumatanggap ang Sentry ng mga arbitraryong payload ng kaganapan mula sa sinumang may wastong Pangalan ng Pinagmulan ng Data (DSN), maaaring magpasok ang mga umaatake ng malisyosong nilalaman sa mga ulat ng error. Kapag ang mga ulat na ito ay kinuha sa ibang pagkakataon ng mga AI coding assistant tulad ng Claude Code o Cursor sa pamamagitan ng Sentry MCP server, ang na-inject na nilalaman ay maaaring ituring na lehitimong gabay sa pag-troubleshoot.

Ang Depekto sa Arkitektura sa Likod ng Pag-atake

Ang sentro ng Agentjacking ay isang problema sa tiwala na dulot ng mga panlabas na serbisyong konektado sa MCP. Ibinabalik ng Sentry MCP server ang datos ng kaganapan sa mga AI agent bilang pinagkakatiwalaang output, kahit na ang datos ay nagmula sa mga hindi na-verify na mapagkukunan.

Dahil dito, hindi maaasahang matukoy ng mga AI coding agent kung ang isang error event ay nabuo dahil sa isang tunay na pagkabigo ng aplikasyon o sadyang ipinasok ng isang threat actor. Ang kawalan ng kakayahang makilala ang pinagkakatiwalaang nilalaman mula sa malisyosong input ay lumilikha ng landas patungo sa arbitraryong pagpapatupad ng code tuwing pinoproseso at sinusunod ng agent ang mga ibinigay na tagubilin.

Ang isang matagumpay na kompromiso ay maaaring maglantad ng lubos na sensitibong impormasyon, kabilang ang mga environment variable, mga kredensyal ng Git, mga URL ng pribadong repositoryo, at data ng pagkakakilanlan ng developer. Kapansin-pansin, ang pag-atake ay hindi nangangailangan ng mga kampanya sa phishing, pag-deploy ng malware, o paunang kompromiso ng target na imprastraktura.

Paano Gumagana ang Agentjacking Attack Chain

Ang pag-atake ay nagaganap sa pamamagitan ng isang serye ng maingat na inayos na mga yugto:

• Tinutukoy ng isang threat actor ang Sentry DSN ng isang target na organisasyon, isang pampublikong write-only credential na karaniwang naka-embed sa loob ng mga website.
• Gamit ang nakalantad na DSN, isang malisyosong error event ang isinusumite sa ingestion endpoint ng Sentry sa pamamagitan ng isang POST request.
• Ang injected event ay naglalaman ng espesyal na ginawang markdown content na naka-embed sa loob ng mga message field at context key name.
• Kapag nakuha ng Sentry MCP server ang kaganapan, ang malisyosong nilalaman ay nire-render bilang nakabalangkas na impormasyon na biswal na kahawig ng lehitimong gabay na binuo ng Sentry.
• Kasunod nito, inutusan ng isang developer ang isang AI coding assistant na imbestigahan o lutasin ang mga hindi pa nareresolbang isyu sa Sentry.

• Nagtatanong ang AI agent kay Sentry sa pamamagitan ng MCP at natatanggap ang event na kontrolado ng attacker.

• Ang mga malisyosong tagubilin ay itinuturing na mga mapagkakatiwalaang hakbang sa remediation, na humahantong sa AI agent na isagawa ang code na ibinigay ng attacker gamit ang mga pribilehiyo ng developer.

Bakit Napakaepektibo ng Pag-atake

Isa sa mga pinakanakababahalang aspeto ng Agentjacking ay ang mga umaatake ay hindi direktang nakikipag-ugnayan sa imprastraktura ng biktima. Sa halip, ang mga malisyosong tagubilin ay nakatago sa loob ng tila isang normal na ulat ng error.

Kapag humihingi ng tulong ang mga developer mula sa kanilang mga AI coding agent, ang minanipulang mensahe ng error ay binibigyang-kahulugan bilang isang lehitimong rekomendasyon sa paglutas. Pagkatapos, isinasagawa ng AI agent ang mga tagubilin sa makina ng developer gamit ang sariling mga pahintulot ng developer.

Ang agentjacking ay partikular na mapanganib dahil tinatarget nito ang mapagkakatiwalaang ugnayan sa pagitan ng mga developer at mga AI assistant. Ang pamamaraan ng markdown injection ay dinisenyo nang napakakumbinsi kaya hindi kayang pag-ibain ng AI agent ang malisyosong nilalaman mula sa tunay na gabay na binuo ng Sentry.

Malawakang Pagkalantad at Tugon ng Vendor

Naiulat na natukoy ng mga mananaliksik ang hindi bababa sa 2,388 na organisasyon na may balido at iniksyon na Sentry DSNs, na nagbibigay-diin sa potensyal na laki ng isyu.

Kinilala ng Sentry ang mga natuklasan ngunit naiulat na napagpasyahan na ang isang kumpletong teknikal na pag-aayos ay hindi magagawa. Sa halip, ipinatupad ng kumpanya ang isang pandaigdigang mekanismo ng pagsala ng nilalaman na nilayon upang harangan ang isang partikular na kilalang pattern ng payload na nauugnay sa pag-atake.

Ang mga Ahente ng AI ang Naging Bagong Pangunahing Pag-atake

Ang paglitaw ng Agentjacking ay nagpapakita kung paano mabilis na nagiging bago at kaakit-akit na paraan ng pag-atake ang mga AI coding assistant. Sa halip na i-target ang mga tradisyonal na kontrol sa seguridad, maaaring samantalahin ng mga kalaban ang mga pinagkakatiwalaang daloy ng data na hayagang inilalantad ng mga organisasyon.

Kayang malampasan ng pag-atake ang maraming kumbensyonal na teknolohiya sa seguridad, kabilang ang mga solusyon sa endpoint detection and response (EDR), mga web application firewall (WAF), mga sistema ng identity and access management (IAM), mga VPN, mga proteksyon ng Cloudflare, at mga tradisyonal na firewall. Dahil ang bawat aksyon na isinagawa sa panahon ng attack chain ay tila awtorisado at lehitimo, maaaring walang malinaw na malisyosong aktibidad na maaaring matukoy ng mga tool sa seguridad.

Habang pinapabilis ng mga organisasyon ang pag-aampon ng pagbuo ng software na tinutulungan ng AI, ang Agentjacking ay nagsisilbing isang malakas na paalala na ang tiwalang inilagay sa mga ahente ng AI ay maaari ring maging isang kahinaan sa seguridad kapag ang mga panlabas na mapagkukunan ng data ay itinuturing na likas na mapagkakatiwalaan.