Agentjacking: un falso rapporto di bug dirotta gli agenti di codifica AI
I ricercatori di sicurezza hanno trovato un modo per dirottare gli agenti di codifica AI con nient'altro che un falso rapporto di bug. Lo chiamano Agentjacking. Non necessita di malware, né di password rubate, né di violazioni del bersaglio.
L'attacco, rivelato da Tenet Security, trasforma l'agente di codifica in un'arma. Quando uno sviluppatore chiede all'agente di correggere un errore, l'agente esegue invece il codice dell'attaccante, con i privilegi dello sviluppatore, sulla macchina dello sviluppatore stesso.
Come funziona l'attacco Agentjacking
Inizia con Sentry, uno strumento di tracciamento degli errori molto popolare. Sentry consente a qualsiasi app di inviargli rapporti di errore utilizzando una chiave pubblica chiamata DSN, che è esposta apertamente nel codice del sito web per design.
Un attaccante invia un falso errore a quel punto finale. Non è necessaria alcuna password. Il rapporto nasconde una sezione "Risoluzione" con un comando, formattato per sembrare esattamente come il consiglio di Sentry.
Gli agenti di codifica leggono Sentry attraverso il Model Context Protocol, lo standard che consente agli agenti di utilizzare strumenti esterni. L'agente tratta la risposta come fidata. Non può distinguere un vero crash da uno piantato. Quindi, quando lo sviluppatore dice "correggi i problemi non risolti di Sentry", l'agente esegue il comando dell'attaccante.
L'agente è ora la superficie di attacco
Gli agenti di codifica AI sono passati dall'autocompletamento all'esecuzione di terminali, e il mercato è in espansione; una startup di vibrazione-coding ha recentemente raggiunto 500 milioni di dollari di fatturato. Quella potenza è il problema.
L'attacco ha funzionato su tutti i grandi agenti. Tenet afferma di aver dirottato Claude Code, Cursor e Codex, con un tasso di successo dell'85% nei test controllati. Ha trovato 2.388 organizzazioni esposte, da un'impresa da 250 miliardi di dollari a sviluppatori singoli, e persino un fornitore di sicurezza cloud.
Il guadagno per un attaccante è severo. Un errore iniettato può raggiungere variabili ambientali, chiavi AWS, token GitHub, credenziali git e URL di repository privati. Da lì, il percorso porta a pipeline CI/CD e infrastrutture cloud.
La parte più spaventosa è ciò che non lo cattura. L'attacco sfugge a EDR, firewall, IAM e VPN, perché nulla nella catena è non autorizzato. Tenet lo chiama "Catena di Intento Autorizzato". Anche i prompt non aiutano. Gli agenti hanno eseguito il codice anche quando è stato detto di ignorare i dati non fidati.
Nessuno vuole prendersi la responsabilità della correzione
Tenet ha informato Sentry il 3 giugno. Sentry ha riconosciuto il problema ma ha rifiutato di risolverlo alla radice, definendolo "tecnicamente non difendibile". Ha aggiunto un filtro per bloccare una specifica stringa di payload, che tratta il sintomo, non la causa.
Quella situazione di stallo è la vera storia. Il difetto non è solo in Sentry. È nel modo in cui gli agenti gestiscono qualsiasi dato esterno, quindi lo stesso rischio si presenta attraverso ticket di supporto, problemi di GitHub e documentazione. Un test separato ha recentemente indotto un agente email AI a rivelare chiavi AWS.
La lezione arriva mentre le imprese si affrettano a mettere gli agenti in produzione. Un agente collegato ai tuoi strumenti è anche un nuovo modo per entrare. Come dice Tenet, l'unico momento rimasto per fermare questo è il momento in cui l'agente decide di agire.
Other articles
L'IPO di SpaceX rende Musk un trilionario a spese dei pensionati
L'IPO record di SpaceX da 75 miliardi di dollari ha spinto Elon Musk oltre 1 trilione di dollari. Le nuove regole accelerate dell'indice Nasdaq ora costringono i fondi pensione ad acquistare azioni di un'azienda in perdita.
SpaceX suona il campanello al suo record debutto al Nasdaq
Al suo debutto al Nasdaq, SpaceX ha suonato la campana, ha lanciato un Falcon 9 e Musk ha ammesso di aver dato all'azienda 'meno del 10% di possibilità'. È la più grande IPO di sempre.
Il capo della tecnologia del Regno Unito vuole che i fondi pensione sostengano le startup di intelligenza artificiale.
Liz Kendall promette riforme legali per canalizzare il capitale istituzionale nelle aziende tecnologiche britanniche, ma le aziende americane dominano ancora i contratti governativi britannici per l'IA.
I nuovi effetti dei messaggi vocali di Instagram ti permettono di suonare come un pirata, una nonna o un tifoso della Coppa del Mondo.
Instagram sta espandendo i suoi effetti alimentati dall'IA per le note vocali a più utenti, aumentando la funzionalità da otto effetti al suo lancio in India a marzo a 15, incluso un nuovo filtro Goal! legato alla Coppa del Mondo FIFA.
L'attuale Serie E valuta il neobank al di sotto del suo picco del 2021.
La serie E attuale valuta il neobank statunitense a 1,5 miliardi di dollari, un terzo al di sotto del suo picco del 2021, nonostante i ricavi siano cresciuti del 70% per il terzo anno consecutivo. Un'IPO è l'obiettivo.
Divieto di social media per i minori di 16 anni nel Regno Unito: cosa sta per fare Starmer
Keir Starmer è pronto ad annunciare un divieto sui social media per i minori di 16 anni nel Regno Unito entro pochi giorni. Le organizzazioni benefiche per la sicurezza dei bambini che hanno fatto campagna affermano che un divieto generale potrebbe avere effetti contrari.
Agentjacking: un falso rapporto di bug dirotta gli agenti di codifica AI
L'attacco 'Agentjacking' di Tenet Security trasforma un errore Sentry falso in codice in esecuzione sulle macchine degli sviluppatori. Ha dirottato Claude Code, Cursor e Codex.