Агентский захват: фальшивый отчет об ошибке захватывает ИИ-кодирующие агенты

      Исследователи безопасности нашли способ захватить AI-кодирующие агенты с помощью лишь поддельного отчета об ошибке. Они называют это Agentjacking. Для этого не требуется вредоносное ПО, украденный пароль или нарушение безопасности цели.

      Атака, раскрытая Tenet Security, превращает кодирующего агента в оружие. Когда разработчик просит агента исправить ошибку, агент вместо этого выполняет код злоумышленника, используя привилегии разработчика на его собственном компьютере.

      Как работает атака Agentjacking

      Все начинается с Sentry, популярного инструмента отслеживания ошибок. Sentry позволяет любому приложению отправлять ему отчеты об ошибках, используя открытый ключ, называемый DSN, который по замыслу находится в коде сайта.

      Злоумышленник отправляет поддельную ошибку на этот конечный пункт. Пароль не нужен. Отчет скрывает раздел "Решение" с командой, отформатированной так, чтобы выглядеть точно как собственные советы Sentry.

      Кодирующие агенты читают Sentry через Протокол Контекста Модели, стандарт, который позволяет агентам подключать внешние инструменты. Агент рассматривает ответ как доверенный. Он не может отличить реальный сбой от подложного. Поэтому, когда разработчик говорит "исправить неразрешенные проблемы Sentry", агент выполняет команду злоумышленника.

      Агент теперь является поверхностью атаки

      AI-кодирующие агенты прошли путь от автозаполнения до выполнения терминалов, и рынок процветает; одна стартап-компания по кодированию недавно достигла $500 млн выручки. Эта сила и является проблемой.

      Атака сработала на крупных агентах. Tenet утверждает, что она захватила Claude Code, Cursor и Codex с 85% уровнем успеха в контролируемых тестах. Она обнаружила 2,388 организаций, подверженных риску, от предприятий стоимостью $250 млрд до индивидуальных разработчиков и даже поставщика облачной безопасности.

      Награда для злоумышленника серьезна. Одна внедренная ошибка может получить доступ к переменным окружения, ключам AWS, токенам GitHub, учетным данным git и URL-адресам частных репозиториев. Оттуда путь ведет к CI/CD конвейерам и облачной инфраструктуре.

      Самая страшная часть — это то, что не ловит ее. Атака проходит мимо EDR, межсетевых экранов, IAM и VPN, потому что ничего в цепочке не является несанкционированным. Tenet называет это "Цепочкой Авторизованного Намерения". Подсказки тоже не помогают. Агенты выполняли код, даже когда им говорили игнорировать недоверенные данные.

      Никто не хочет брать на себя исправление

      Tenet сообщила Sentry 3 июня. Sentry признала проблему, но отказалась исправить ее в корне, назвав это "технически недоказуемым". Она добавила фильтр для блокировки одной конкретной строки полезной нагрузки, что устраняет симптом, но не причину.

      Этот тупик — настоящая история. Недостаток не только в Sentry. Он заключается в том, как агенты обрабатывают любые внешние данные, поэтому тот же риск проходит через тикеты поддержки, проблемы GitHub и документацию. Отдельный тест недавно заставил AI-агента по электронной почте выдать ключи AWS.

      Урок заключается в том, что предприятия спешат внедрить агентов в производство. Агент, подключенный к вашим инструментам, также является новым способом доступа. Как говорит Tenet, единственное место, где можно остановить это, — это момент, когда агент решает действовать.