AI agentas pasiūlė pataisyti klaidą — o įvykdė užpuoliko kodą

Įsivaizduokite: dirbate su AI kodo asistentu, kuris padeda taisyti klaidas jūsų projekte. Jis rodo klaidą iš „Sentry“ — patikimos klaidų stebėjimo platformos, kuria naudojasi tūkstančiai komandų. Asistentas siūlo sprendimą. Jūs paspaudžiate „taip“. Ir tą akimirką kažkas nutolęs įvykdo kodą jūsų kompiuteryje su jūsų teisėmis.

Tai ne scenarijus iš kibernetinio trilerio. Tai „Agentjacking“ — nauja atakų klasė, kurią birželio 12 d. aprašė kibernetinio saugumo kompanija „Tenet Security“. Ir ji veikia būtent taip paprastai, kaip nuskambėjo.

Kaip tai veikia

„Sentry“ yra atviro kodo klaidų sekimo platforma. Kūrėjai integruoja ją į savo programas, o kai programa sugenda, „Sentry“ surenka klaidos duomenis ir parodo juos per savo sąsają. Viskas veikia per DSN („Data Source Name“) — unikalų raktą, kuris leidžia programai siųsti klaidų pranešimus į „Sentry“ serverius.

Pastaraisiais mėnesiais „Sentry“ pridėjo MCP („Model Context Protocol“) serverį, leidžiantį AI kodo asistentams — tokiems kaip „Claude Code“ ar „Cursor“ — skaityti klaidų duomenis tiesiai iš platformos ir siūlyti sprendimus. Idėja graži: programuotojas mato klaidą, AI agentas ją analizuoja ir pasiūlo pataisymą.

Bet „Tenet“ tyrėjai Ron Bobrov, Barak Sternberg ir Nevo Poran rado esminę architektūrinę spragą. DSN raktas, kurį organizacijos naudoja klaidoms siųsti, dažnai būna viešas — jis įdėtas į „JavaScript“ kodą, kurį mato kiekvienas, atidaręs naršyklės kūrėjo įrankius. Turėdamas šį raktą, užpuolikas gali siųsti suklastotus klaidų pranešimus į organizacijos „Sentry“ projektą.

O čia ir slypi esmė: AI agentas nemato skirtumo tarp tikros programos klaidos ir užpuoliko suklastoto pranešimo. Kai kūrėjas paprašo agento pataisyti „Sentry“ klaidą, agentas nuskaito užpuoliko įterptą „sprendimą“ kaip patikimą instrukciją — ir įvykdo jį.

„Užpuolikas niekada neliečia aukos infrastruktūros“, — aiškina tyrėjai. „Piktybinė instrukcija atkeliauja užmaskuota kaip teisėtas „Sprendimas“ paprastoje klaidoje. Kai kūrėjas paprašo savo AI agento sutvarkyti „Sentry“ problemą, agentas perskaito užpuoliko komandą kaip patikimą nurodymą ir ją įvykdo — su kūrėjo teisėmis, kūrėjo kompiuteryje.“

Ką galima pasiekti

Sėkminga ataka gali atskleisti jautrius duomenis: aplinkos kintamuosius (kuriuose dažnai laikomi API raktai ir slaptažodžiai), „Git“ prisijungimo duomenis, privačių repozitorijų URL adresus ir kūrėjų tapatybes. Visa tai — be sukčiavimo laiškų, be serverio įsilaužimo, be jokio tiesioginio kontakto su auka.

„Tenet“ teigia radusi bent 2 388 organizacijas, kurių DSN raktai buvo vieši ir per kuriuos buvo galima įterpti suklastotas klaidas. Kontroliuojamame bandyme su daugiau nei 100 organizacijų ataka pavyko 85 % atvejų prieš populiariausius AI kodo asistentus.

„Sentry“ atsakymas

„Sentry“ pripažino problemą, bet nusprendė jos netaisyti iš esmės — kompanijos teigimu, tai „techniškai neapginama“. Vietoj to ji aktyvavo globalų turinio filtrą, blokuojantį vieną konkretų eilutės fragmentą, kurį tyrėjai naudojo atakos demonstracijai.

Tai reiškia, kad pati spraga lieka atvira. Užpuolikams pakanka pakeisti kelis simbolius savo kenkėjiškame kode — ir filtras nebeveikia.

Ką daryti kūrėjams

Kol kas nėra paprasto pataisymo. „Tenet“ rekomenduoja kūrėjų komandoms peržiūrėti, ar jų DSN raktai nėra viešai pasiekiami naršyklės kode, ir apsvarstyti, ar verta leisti AI agentams tiesiogiai veikti pagal „Sentry“ klaidų duomenis be žmogaus patvirtinimo kiekvienam veiksmui.

Plačiau žiūrint, ši ataka atskleidžia gilesnę problemą: kuo labiau pasitikime AI agentais, tuo didesnį atakos paviršių sukuriame. Agentai, kurie veikia mūsų vardu su mūsų teisėmis, tampa nauju taikiniu — ir užpuolikams net nereikia įsilaužti į mūsų sistemas. Pakanka apgauti agentą.

„Kol įmonės lenktyniauja diegdamos AI kodo agentus, šis tyrimas įrodo, kad patys agentai dabar yra atakos paviršius — nukreipti prieš kūrėjus, kurie jais pasitiki, naudojant tik tuos duomenis, kuriuos organizacijos patys skelbia apie save", — apibendrina „Tenet".

Ko tikėtis toliau

„Agentjacking" nėra vienkartinis incidentas — tai pirmas rimtas signalas, kad AI agentų saugumas taps atskira kibernetinio saugumo šaka. Tradiciniai gynybos įrankiai, tokie kaip EDR (galinių įrenginių aptikimo ir reagavimo sistemos) ar WAF (saityno programų ugniasienės), šios atakos nemato — nes nėra kenkėjiško failo, nėra įtartino tinklo srauto, nėra nieko, ką klasikiniai detektoriai atpažintų kaip grėsmę.

„Ataka apeina EDR, WAF ir visus įprastus saugumo sluoksnius", — pabrėžia „Tenet". Ji vyksta per patikimą kanalą tarp dviejų patikimų sistemų: „Sentry" ir AI agento. Būtent šis pasitikėjimo tiltas ir yra silpnoji vieta.

MCP protokolas, leidžiantis AI agentams jungtis prie išorinių paslaugų, sparčiai plinta. „Anthropic" jį pozicionuoja kaip standartą, prie kurio jungiasi vis daugiau įrankių. Kuo daugiau agentai turi prieigos prie išorinių duomenų šaltinių, tuo daugiau atsiranda taškų, kur užpuolikas gali įterpti suklastotą informaciją.

Ekspertai prognozuoja, kad per artimiausius metus pamatysime ne vieną „Agentjacking" variaciją — galbūt per „GitHub" problemas, „Jira" užduotis, „Slack" pranešimus ar bet kurį kitą kanalą, kuriuo AI agentas pasitiki be papildomo patikrinimo.