Μια νέα επιχείρηση κυβερνοεπίθεσης με την ονομασία “Agentjacking” έχει αποκαλυφθεί, στοχεύοντας τη θωράκιση των πρακτόρων κωδικοποίησης τεχνητής νοημοσύνης και επιτρέποντας στους εισβολείς να εκτελούν κώδικα ανεξέλεγκτα σε περιβάλλοντα προγραμματιστών μέσω ενός μοναδικού σφάλματος που αφορά το Sentry.
Αυτή η τεχνική χρησιμοποιεί αξιόπιστους βοηθούς AI, όπως οι Claude Code και Cursor, απενεργοποιώντας τους ουσιαστικά για την εκτέλεση κακόβουλων εντολών, χωρίς να καταφύγει σε phishing ή εγκατάσταση κακόβουλου λογισμικού.
Το σημείο εισόδου σε αυτήν την επίθεση είναι το δημόσιο όνομα πηγής δεδομένων του Sentry (DSN), το οποίο είναι συνηθισμένο να ενσωματώνεται στο frontend JavaScript και είναι ευρέως διαθέσιμο στο διαδίκτυο.
Μέσω μεθόδων όπως η επιθεώρηση JavaScript και η ανάλυση φορτωτή CDN, οι ερευνητές της Tenet εντόπισαν 2.388 οργανισμούς με ενέσιμα DSN, μεταξύ των οποίων 71 βρίσκονται στην κορυφή του Tranco top-1M.
Ένας εισβολέας μπορεί, χρησιμοποιώντας μόνο το DSN, να υποβάλει παραποιημένα συμβάντα στο API του Sentry, ελέγχοντας πεδία όπως μηνύματα και ετικέτες, και να εισάγει κακόβουλο περιεχόμενο στο σύστημα παρακολούθησης.
Το Sentry, που οι επαγγελματίες προγραμματιστές χρησιμοποιούν ως αξιόπιστο εργαλείο, αποδέχεται αυτά τα falsified events ως νόμιμα σφάλματα, επιτρέποντας στους εισβολείς να ενσωματώσουν το δικό τους ελεγχόμενο περιεχόμενο.
Το κρίσιμο ελάττωμα εντοπίζεται στη διασταύρωση της διαδικασίας απορρόφησης συμβάντων του Sentry και του πρωτοκόλλου περιεχομένου μοντέλου (MCP), το οποίο παρέχει δεδομένα σφαλμάτων σε πράκτορες κωδικοποίησης AI ως πληροφορίες που θεωρούνται αξιόπιστες.
Η Επίθεση Agentjacking και η Υφαρπαγή Πρακτόρων Κωδικοποίησης AI
Οι επιτιθέμενοι μπορούν να ενσωματώσουν ειδικά κατασκευασμένο Markdown μέσα στις παραποιημένες αναφορές σφάλματος, ιδίως στα πεδία μηνυμάτων και περιβάλλοντος, ώστε να επηρεάσουν τον τρόπο παρουσίασης του περιεχομένου από τους πρακτορες τεχνητής νοημοσύνης.
Το κακόβουλο περιεχόμενο μπορεί να διαμορφωθεί ώστε να φαίνεται ως γνήσια ενότητα “Ανάλυση” του Sentry, περιλαμβάνοντας επικεφαλίδες και πίνακες, γεγονός που καθιστά δύσκολη την αναγνώριση των παραποιημένων πληροφοριών από τους προγραμματιστές.
Αν ένας προγραμματιστής ζητήσει από τον πράκτορα AI να «διορθώσει προβλήματα Sentry», το AI υποβάλλει αιτήματα στο Sentry μέσω του MCP, εισάγοντας την κατηγορία του εισβολέα ως αποδεκτή διάγνωση.
Το proof-of-concept της Tenet επιβεβαίωσε την εκτέλεση εντολών npx, οι οποίες αναλάμβαναν ένα πακέτο ελέγχου από το δημόσιο μητρώο npm και το εκτελούσαν με τα πλήρη δικαιώματα του προγραμματιστή.
Κατά τη διάρκεια της ελεγχόμενης εκστρατείας, αυτό το πακέτο επιβεβαίωσε την ύπαρξη ευαίσθητων πληροφοριών, ερευνώντας μεταβλητές περιβάλλοντος και επαληθεύοντας διαφορετικά μεγέθη αρχείων διαμόρφωσης.
Στη συνέχεια, απέστειλαν μεταδεδομένα σε έναν διακομιστή beacon της Tenet, χρησιμοποιώντας συγκεκριμένες κεφαλίδες.
Η Tenet έχει αναφέρει περισσότερα από 100 επιβεβαιωμένα περιστατικά υφαρπαγής πρακτόρων μέσα σε μεγάλες επιχειρήσεις, περιλαμβάνοντας οργανισμούς στον τομέα της φιλοξενίας καθώς και μεμονωμένους προγραμματιστές.
.webp)
.webp)
Οι επιθέσεις σημείωσαν ποσοστό επιτυχίας περίπου 85% σε κορυφαίους AI πράκτορες, γεγονός που τονίζει την επικινδυνότητα του Agentjacking, αφού οι ενέργειες φαίνονται ορθές για τις παραδοσιακές άμυνες.
Το Sentry χρησιμοποιείται όπως σχεδιάστηκε, τα DSN είναι δημόσια διαθέσιμα και οι εντολές από τον πράκτορα AI φαίνονται μέρος της κανονικής διαδικασίας βοηθείας.
.webp)
Τα παραδοσιακά μέτρα ασφαλείας, όπως ο έλεγχος πρόσβασης και τα τείχη προστασίας, δεν ανιχνεύουν τις επιθέσεις, καθώς οι ενέργειες ταιριάζουν με τις εγκρίσεις εκτέλεσης από προγραμματιστές.
Η Tenet χαρακτηρίζει αυτή την κατάσταση ως “Εξουσιοδοτημένη Αλυσίδα Πρόθεσης”, δηλώνει ότι οι παρούσες στρατηγικές ασφάλειας που εστιάζουν στην αποτροπή μη εξουσιοδοτημένων ενέργειών δεν μπορούν να εντοπίσουν τέτοιες επιθέσεις που κινούνται εντός του αξιόπιστου περιβάλλοντος.
Η έρευνα αυτή αποκαλύπτει ότι αυτή δεν είναι απλώς μια αδυναμία ενός συγκεκριμένου προμηθευτή αλλά μια συστημική απειλή που σχετίζεται με την τεχνητή νοημοσύνη.
Οποιαδήποτε ενσωμάτωση MCP, παρέχοντας δεδομένα που επηρεάζονται από τρίτους προγραμματιστές, ενδέχεται να υποκρύπτει παρόμοιο κίνδυνο.
Τα σύγχρονα μοντέλα τεχνητής νοημοσύνης δεν μπορούν να εντοπίσουν αξιόπιστα την διαφορά μεταξύ αξιόπιστων δεδομένων και κρυφών εντολών, ιδίως όταν αυτές εκδηλώνονται σε φαινομενικά ασφαλή αρχεία ή μηνύματα σφαλμάτων.
Η Tenet δημοσιοποίησε τις ανακαλύψεις της στο Sentry στις 3 Ιουνίου 2026. Ο Sentry αναγνώρισε το ζήτημα και εφάρμοσε ένα φίλτρο περιεχομένου παγκοσμίως για να περιορίσει τις αθέμιτες ενδείξεις.
.webp)
Σύμφωνα με πληροφορίες, αυτός ο τύπος επίθεσης χαρακτηρίστηκε ως “μη τεχνικά υπερασπίσιμος” σε επίπεδο απορρόφησης, κάτι που σημαίνει ότι η Sentry ανέθεσε τη λύση στους προμηθευτές μοντέλων.
Για τους υπερασπιστές, οι επιθέσεις του Agentjacking σηματοδοτούν μια νέα εποχή κινδύνου στην εφοδιαστική αλυσίδα της τεχνητής νοημοσύνης, όπου οι ίδιοι οι πράκτορες AI γίνονται κεντρικοί στόχοι.
Οι ομάδες ασφαλείας καλούνται να επαναξιολογήσουν τα εργαλεία με τα οποία οι πρακτορες AI τους αλληλεπιδρούν και αν αυτά τα εργαλεία δέχονται αναξιόπιστες ή ανώνυμες πληροφορίες.
Ποιες είναι οι μηχανισμοί ελέγχου εκτέλεσης για να αποτραπεί η αυτόματη εκτέλεση του περιεχομένου που έχει εγχυθεί σε κώδικα στα τελικά σημεία προγραμματιστή;
## Η άποψη του TechNoid.gr
Η αποκάλυψη της επίθεσης Agentjacking υπογραμμίζει μια οργισμένη πρόκληση για τα μοντέρνα συστήματα ασφαλείας. Η ικανότητα των εισβολέων να εκμεταλλεύονται τη γνώση των δικτύων και των εργαλείων που χρησιμοποιούν οι προγραμματιστές μας επισημαίνει την ανάγκη για αναθεώρηση και ενίσχυση των μηχανισμών ασφαλείας σε επίπεδο AI. Στο μέλλον, πρέπει να δούμε πώς αυτές οι επιθέσεις θα επιρρεάσουν την ανάπτυξη και την υιοθέτηση της τεχνητής νοημοσύνης στις οργανώσεις στην Ελλάδα και παγκοσμίως, καθώς η ασφάλεια και η εμπιστοσύνη είναι κρίσιμα ζητήματα σε μια περίοδο αυξανόμενης ψηφιοποίησης.
