Các nhà nghiên cứu bảo mật đã tìm ra cách chiếm quyền điều khiển các tác nhân mã hóa AI mà không cần gì khác ngoài một báo cáo lỗi giả mạo. Họ gọi nó là Agentjacking. Nó không cần phần mềm độc hại, không bị đánh cắp mật khẩu và không vi phạm mục tiêu.
Cuộc tấn công do Tenet Security tiết lộ đã biến tác nhân mã hóa thành vũ khí. Khi nhà phát triển yêu cầu tác nhân sửa lỗi, tác nhân sẽ chạy mã của kẻ tấn công, với đặc quyền riêng của nhà phát triển, trên máy của chính nhà phát triển.
Cách thức hoạt động của cuộc tấn công Agentjacking
Nó bắt đầu với Sentry, một công cụ theo dõi lỗi phổ biến. Sentry cho phép bất kỳ ứng dụng nào gửi báo cáo lỗi bằng cách sử dụng khóa chung gọi là DSN, khóa này được thiết kế công khai trong mã trang web.
Kẻ tấn công gửi một lỗi giả tới điểm cuối đó. Không cần mật khẩu. Báo cáo ẩn phần “Giải pháp” bằng một lệnh, được định dạng trông giống hệt lời khuyên của chính Sentry.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
Các tác nhân mã hóa đọc Sentry thông qua Giao thức bối cảnh mô hình, tiêu chuẩn cho phép các tác nhân lấy các công cụ bên ngoài. Tác nhân coi phản hồi là đáng tin cậy. Nó không thể phân biệt một vụ tai nạn thực sự với một vụ tai nạn đã được trồng. Vì vậy, khi nhà phát triển nói “khắc phục các sự cố Sentry chưa được giải quyết”, tác nhân sẽ chạy lệnh của kẻ tấn công.
Tác nhân bây giờ là bề mặt tấn công
Các tác nhân mã hóa AI đã chuyển từ tự động hoàn thành sang thiết bị đầu cuối đang chạy và thị trường đang bùng nổ; một công ty khởi nghiệp về mã hóa rung cảm gần đây đã đạt doanh thu 500 triệu đô la. Sức mạnh đó chính là vấn đề.
Cuộc tấn công đã có tác dụng với các đặc vụ lớn. Tenet cho biết họ đã chiếm quyền điều khiển Claude Code, Cursor và Codex với tỷ lệ thành công 85% trong các thử nghiệm có kiểm soát. Nó phát hiện 2.388 tổ chức bị lộ, từ một doanh nghiệp trị giá 250 tỷ USD cho đến các nhà phát triển đơn lẻ và thậm chí cả nhà cung cấp bảo mật đám mây.
Sự trả giá cho kẻ tấn công là rất nặng nề. Một lỗi được chèn có thể tiếp cận các biến môi trường, khóa AWS, mã thông báo GitHub, thông tin xác thực git và URL kho lưu trữ riêng. Từ đó, đường dẫn chạy đến quy trình CI/CD và cơ sở hạ tầng đám mây.
Phần đáng sợ nhất là những gì không bắt được nó. Cuộc tấn công vượt qua EDR, tường lửa, IAM và VPN vì không có gì trong chuỗi là trái phép. Tenet gọi nó là “Chuỗi ý định được ủy quyền”. Nhắc nhở cũng không giúp được gì. Các tác nhân đã chạy mã ngay cả khi được yêu cầu bỏ qua dữ liệu không đáng tin cậy.
Không ai muốn sở hữu bản sửa lỗi
Tenet nói với Sentry vào ngày 3 tháng Sáu. Sentry thừa nhận vấn đề nhưng từ chối khắc phục tận gốc, gọi đó là “về mặt kỹ thuật là không thể bảo vệ được”. Nó đã thêm một bộ lọc để chặn một chuỗi tải trọng cụ thể, nhằm xử lý triệu chứng chứ không phải nguyên nhân.
Sự bế tắc đó là câu chuyện có thật. Lỗ hổng không chỉ ở Sentry. Đó là cách các đại lý xử lý bất kỳ dữ liệu bên ngoài nào, do đó, rủi ro tương tự sẽ xảy ra với các phiếu hỗ trợ, các vấn đề về GitHub và tài liệu. Một cuộc thử nghiệm riêng biệt gần đây đã lừa một tác nhân email AI để làm rò rỉ các khóa AWS.
Bài học rút ra khi doanh nghiệp đổ xô đưa đại lý vào sản xuất. Một tác nhân được kết nối với các công cụ của bạn cũng là một cách mới. Như Tenet đã nói, nơi duy nhất còn lại để ngăn chặn điều này là thời điểm tác nhân quyết định hành động.
Nguồn The Next Web