Agentjacking - novi napad koji pretvara AI asistente u oružje hakerа
Novi Agentjacking napad preuzima kontrolu AI kodnih agenata preko Sentry integracije, omogućavajući izvršavanje hakerskog koda bez detektovanja.
Šta se desilo?
Istraživači su otkrili novu vrstu napada nazvanu "Agentjacking" koja se koristi za preuzimanje kontrole nad AI alatima za pisanje koda kao što su Claude Code i Cursor. Napadač koristi samo jednu injektovanu Sentry grešku da bi pokrenuo maliciozni kod na računaru programera, bez fišinga, malvera ili bilo kakvog direktnog upada u infrastrukturu žrtve.
Kako funkcioniše napad?
Napadač iskorišćava javno dostupan Sentry identifikator (DSN) koji se rutinski ugrađuje u JavaScript kod. Kroz njega podnosi lažne izveštaje o greškama sa pažljivo oblikovanim Markdown sadržajem. Kada programer traži od AI agenta da "ispravi nerazrešene Sentry probleme", agent preuzima injektovanu "grešku" i tumači je kao legitimnu preporuku, izvršavajući zapravo napadačevu komandu sa punim pravima korisnika. U testnom scenariju, napad je usmerio agent da preuzme i pokrene maliciozni npm paket koji je ekspozitorno prosledio osjetljive podatke - kredencijale za cloud servise, source control i klasterske sisteme.
Koga pogađa?
Napad pogađa sve organizacije koje koriste AI kodne asistente integrisane sa Sentry platformom, uključujući Fortune 500 kompanije, cloud provajdere, naučne institucije, startupe i individualne programere. Istraživači su potvrdili učešće u napadu preko 100 razvojnih okruženja na šest kontinenata.
Zašto je to opasno?
Svaki korak u napadu izgleda legalno i prosledi sve provere tradicionalnih odbrana. Sentry se koristi kako je predviđeno, DSN su javni po politici, npm paket se preuzima preko standardnih kanala, a AI agent izvršava komande kao deo normalnog rada. Krajnje vrednostne detektore, WAF sistemi, IAM politike i firewali ne prijavljuju nikakve napadne aktivnosti jer se ponašanje poklapa sa odobrenimalatkama koje koriste programeri.
Kako se zaštititi?
- Procenite i ograničite pristup AI agenata eksternim alatima i platformama, posebno onima koje primaju javne ulaze
- Implementirajte runtime kontrole koje sprečavaju automatsko izvršavanje komandi iz injektovanog sadržaja
- Redovno auditurajte koje DSN ključeve i API kredencijale su dostupni ili slučajno izloženi
- Primenite principl minimalnih dozvola - AI agenti trebaju imati samo neophodne privilegije
- Monitorujte ponašanje AI agenata u odnosu na izvršavanje komandi i pristup osjetljivim podacima
- Razmotrите zamenu ili deaktivaciju integracija između AI agenata i eksternih alata do pojave pouzdanijih rešenja
Tehnički detalji
Napadač koristi Model Context Protocol (MCP) integraciju da injektuje podatke iz Sentry event pipeline-a u AI agente. Injektovani Markdown sadržaj se može prikazati kao legitimna Sentry "Resolution" sekcija sa zaglevljem, kod blokovima i tabelama, što čini razlikovanje od pravih preporuka gotovo nemogućim. Stopa uspeha napada dostiže oko 85% kod vodećih AI kodnih agenata. Istraživači su identifikovali 2.388 organizacija sa javno dostupnim injektabilnim DSN ključevima, od čega 71 iz Tranco top-1M liste.
Odgovor Sentry-ja
Sentry je primio obaveštenje o problemu 3. juna 2024. i uveo globalni filter za specifičnu Payload string sekvencu. Međutim, kompanija je prosuđivanja da je problem "tehnički neodbranjiv" na nivou ingestion sloja i prebacila odgovornost na proizvođače AI modela za implementaciju zaštite.
Preporuka Sajber Radara
Ovo otkrice signalizira novu eru u kibernetskoj sigurnosti gde AI agenti sami postaju primarna napadna površina. Prenosimo važnost hitnog preispitivanja svih integracija između AI agenata i eksternih servisa, posebno onih koji primaju nesigurne ili anonimne ulaze.
