كيف يعمل هجوم Agentjacking؟
يستغل الهجوم ثغرة هيكلية حرجة في نقطة التقاء ingestion الأحداث في Sentry (التي تقبل حمولات عشوائية من أي شخص يمتلك DSN) وخادم Sentry MCP (الذي يعيد هذه البيانات إلى وكلاء الترميز باعتبارها مخرجات نظام موثوقة).
يتمثل جوهر الهجوم في حقن مدخلات مصممة بعناية في أحداث الأخطاء الخاصة بـ Sentry، والتي يتم تفسيرها بعد ذلك من قبل وكلاء الترميز مثل Claude Code وCursor على أنها خطوات تشخيصية مشروعة، مما يؤدي إلى تنفيذ أكواد خبيثة يتحكم فيها المهاجم.
يمكن لهجوم ناجح من هذا النوع الكشف عن بيانات حساسة، بما في ذلك المتغيرات البيئية، واعتمادات Git، وعناوين المستودعات الخاصة، وهويات المطورين، دون الحاجة إلى الاعتماد على طرق مثل التصيد أو اختراق الخوادم مسبقًا.
سلسلة الهجوم التي وضعتها شركة Tenet
تبدأ سلسلة الهجوم عندما يجد المهاجم DSN الهدف، وهو اعتماد عام للكتابة فقط يتم تضمينه في المواقع الإلكترونية. ثم يرسل المهاجم حدث خطأ خبيث إلى endpoint ingestion في Sentry عبر طلب POST باستخدام DSN. يحتوي الحدث المحقون على markdown منسق بعناية في حقل الرسالة وأسماء المفاتيح السياقية.
عندما يعيد خادم Sentry MCP هذا الحدث إلى وكيل الترميز، يتم عرضه كمحتوى منظم يبدو مطابقًا تمامًا للقوالب النظامية الخاصة بـ Sentry. وعندما يطلب المطور من وكيل الترميز بالذكاء الاصطناعي إصلاح مشاكل Sentry غير المحلولة (أو مطالبة مماثلة)، يستعلم الوكيل عن Sentry عبر MCP ويستقبل الحدث الخبيث. بعد ذلك، ينفذ الوكيل الكود الخبيث الذي يعمل بامتيازات المطور الكاملة.
"المهاجم لا يلمس أبدًا بنية الضحية التحتية،" أوضح الباحثون. "الوصول الخبيث يصل متنكرًا في هيئة 'حل' مشروع داخل خطأ عادي. عندما يطلب المطور من وكيل الترميز إصلاح مشكلة Sentry، يقرأ الوكيل الأمر الخبيث باعتباره توجيهًا موثوقًا به وينفذه - بامتيازات المطور نفسه، على جهاز المطور نفسه."
لماذا يعد هجوم Agentjacking خطيرًا؟
يتميز هجوم Agentjacking بعدة جوانب تجعل منه تهديدًا خطيرًا:
- استهداف وكلاء الترميز: يهاجم الهجوم الوكيل الذي يثق به المطور، مما يجعله خطرًا مباشرًا على بيئات التطوير.
- استخدام DSN Sentry: يبدأ الهجوم باستخدام DSN Sentry، وهو معيار شائع في العديد من المشاريع.
- إخفاء التعليمات الخبيثة: يتم تقديم حقن markdown بحيث لا يتمكن الوكيل من التمييز بينه وبين إرشادات Sentry المشروعة.
أكدت شركة Tenet الأمنية أنها اكتشفت ما لا يقل عن 2,388 منظمة معرضة مع DSNs قابلة للحقن، واختبرت الهجوم بشكل خاضع للرقابة ضد أكثر من 100 منظمة، محققة معدل نجاح بنسبة 85% في استغلال الأخطاء المحقونة عبر بعض أكثر وكلاء الترميز شيوعًا.
رد فعل Sentry على الهجوم
أقر Sentry بوجود المشكلة، لكنه اختار عدم إصلاحها، مشيرًا إلى أنها "غير قابلة للدفاع عنها تقنيًا". ومع ذلك،据说 قامت الشركة بتنشيط فلتر محتوى عالمي يحظر سلسلة حمولة محددة.
أوضحت شركة Tenet أن "مع تسارع المؤسسات إلى نشر وكلاء الترميز بالذكاء الاصطناعي، يثبت هذا البحث أن الوكلاء أنفسهم أصبحوا سطح هجوم - متحولين ضد المطورين الذين يثقون بهم، مستخدمين فقط البيانات التي تنشرها تلك المنظمات عن نفسها."
وأضافت: "يتجاوز الهجوم كلًا من EDR، وWAF، وIAM، وVPN، وCloudflare، وجدران الحماية - لأنه لا يوجد أي شيء خبيث يمكن اكتشافه. كل خطوة في السلسلة مصرح بها."