🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descreveram o que consideram ser uma nova classe de ataque que pode enganar os agentes de codificação de inteligência artificial (IA) para que executem código arbitrário nas máquinas dos desenvolvedores.
Chamado de Agentjacking da Tenet Security, o ataque pode ser desencadeado por meio de um relatório de erros falso criado usando o Sentry, uma plataforma de código aberto para rastreamento de erros e monitoramento de desempenho.
“O ataque explora uma falha arquitetônica crítica na interseção da ingestão de eventos do Sentry (que aceita cargas arbitrárias de qualquer pessoa com o DSN) e o servidor Sentry MCP (que retorna esses dados aos agentes de IA como saída confiável do sistema)”, disseram os pesquisadores de segurança Ron Bobrov, Barak Sternberg e Nevo Poran.
A ideia é injetar informações elaboradas em eventos de erro do Sentry, que são então interpretados por agentes de codificação como Claude Code e Cursor como etapas legítimas de resolução de diagnóstico e executar código controlado pelo invasor.
Um ataque bem-sucedido desse tipo pode expor dados confidenciais, incluindo variáveis de ambiente, credenciais Git, URLs de repositórios privados e identidades de desenvolvedores, sem precisar depender de métodos como phishing ou comprometimento anterior do servidor.
O problema está enraizado na confiança implícita associada à conexão com serviços externos usando Model Context Protocol (MCP). Como um agente de IA não consegue distinguir entre um evento de erro gerado por uma falha real do aplicativo ou injetado por um invasor, ele cria um caminho para a execução arbitrária de código quando o agente processa a resposta.
A cadeia de ataque desenvolvida por Tenet é a seguinte -
Um invasor encontra o Sentry Data Source Name (DSN) de um alvo, uma credencial pública somente para gravação incorporada em sites.
O invasor envia um evento de erro malicioso ao endpoint de ingestão do Sentry por meio de uma solicitação POST usando o DSN.
O evento injetado contém "remarcação cuidadosamente formatada" no campo da mensagem e nos nomes das chaves de contexto. Quando o servidor Sentry MCP retorna este evento para um agente de IA, ele é renderizado como conteúdo estruturado visualmente idêntico ao modelo de sistema do Sentry.
Quando um desenvolvedor pede ao seu agente de codificação de IA para “corrigir problemas não resolvidos do Sentry” (ou um prompt semelhante), o agente consulta o Sentry via MCP e recebe o evento malicioso.
O agente executa código malicioso, que é executado com todos os privilégios do desenvolvedor.
“O invasor nunca toca na infraestrutura da vítima”, explicaram os pesquisadores. "A instrução maliciosa chega disfarçada como uma 'resolução' legítima dentro de um erro comum. Quando um desenvolvedor pede ao seu agente de IA para corrigir o problema do Sentry, o agente lê o comando do invasor como uma orientação confiável e o executa - com os privilégios do próprio desenvolvedor, na própria máquina do desenvolvedor."
O Agentjacking se destaca porque tem como alvo o agente de IA em que o desenvolvedor confia e usa um Sentry DSN como ponto de partida. Além disso, a injeção de redução é feita de tal forma que o agente não consegue distingui-la da orientação legítima do Sentry.
A empresa de segurança cibernética de IA disse que encontrou pelo menos 2.388 organizações expostas com DSNs injetáveis válidos e que testou o ataque de maneira controlada contra mais de 100 organizações, alcançando uma taxa de sucesso de exploração de 85% contra erros injetados em alguns dos assistentes de codificação de IA mais usados.
A Sentry, por sua vez, reconheceu o problema, mas optou por não corrigi-lo, afirmando que é “tecnicamente indefensável”. No entanto, diz-se que a empresa ativou um filtro de conteúdo global que bloqueia uma “string de carga útil específica”.
“À medida que as empresas correm para implantar agentes de codificação de IA, esta pesquisa prova que os próprios agentes são agora a superfície de ataque – voltados contra os desenvolvedores que confiam neles, usando nada além de dados que essas organizações publicam sobre si mesmas”, disse Tenet. "O ataque ignora EDR, WAF, IAM, VPN, Cloudflare e firewalls – porque não há nada malicioso para detectar. Cada ação na cadeia é autorizada."
Chamado de Agentjacking da Tenet Security, o ataque pode ser desencadeado por meio de um relatório de erros falso criado usando o Sentry, uma plataforma de código aberto para rastreamento de erros e monitoramento de desempenho.
“O ataque explora uma falha arquitetônica crítica na interseção da ingestão de eventos do Sentry (que aceita cargas arbitrárias de qualquer pessoa com o DSN) e o servidor Sentry MCP (que retorna esses dados aos agentes de IA como saída confiável do sistema)”, disseram os pesquisadores de segurança Ron Bobrov, Barak Sternberg e Nevo Poran.
A ideia é injetar informações elaboradas em eventos de erro do Sentry, que são então interpretados por agentes de codificação como Claude Code e Cursor como etapas legítimas de resolução de diagnóstico e executar código controlado pelo invasor.
Um ataque bem-sucedido desse tipo pode expor dados confidenciais, incluindo variáveis de ambiente, credenciais Git, URLs de repositórios privados e identidades de desenvolvedores, sem precisar depender de métodos como phishing ou comprometimento anterior do servidor.
O problema está enraizado na confiança implícita associada à conexão com serviços externos usando Model Context Protocol (MCP). Como um agente de IA não consegue distinguir entre um evento de erro gerado por uma falha real do aplicativo ou injetado por um invasor, ele cria um caminho para a execução arbitrária de código quando o agente processa a resposta.
A cadeia de ataque desenvolvida por Tenet é a seguinte -
Um invasor encontra o Sentry Data Source Name (DSN) de um alvo, uma credencial pública somente para gravação incorporada em sites.
O invasor envia um evento de erro malicioso ao endpoint de ingestão do Sentry por meio de uma solicitação POST usando o DSN.
O evento injetado contém "remarcação cuidadosamente formatada" no campo da mensagem e nos nomes das chaves de contexto. Quando o servidor Sentry MCP retorna este evento para um agente de IA, ele é renderizado como conteúdo estruturado visualmente idêntico ao modelo de sistema do Sentry.
Quando um desenvolvedor pede ao seu agente de codificação de IA para “corrigir problemas não resolvidos do Sentry” (ou um prompt semelhante), o agente consulta o Sentry via MCP e recebe o evento malicioso.
O agente executa código malicioso, que é executado com todos os privilégios do desenvolvedor.
“O invasor nunca toca na infraestrutura da vítima”, explicaram os pesquisadores. "A instrução maliciosa chega disfarçada como uma 'resolução' legítima dentro de um erro comum. Quando um desenvolvedor pede ao seu agente de IA para corrigir o problema do Sentry, o agente lê o comando do invasor como uma orientação confiável e o executa - com os privilégios do próprio desenvolvedor, na própria máquina do desenvolvedor."
O Agentjacking se destaca porque tem como alvo o agente de IA em que o desenvolvedor confia e usa um Sentry DSN como ponto de partida. Além disso, a injeção de redução é feita de tal forma que o agente não consegue distingui-la da orientação legítima do Sentry.
A empresa de segurança cibernética de IA disse que encontrou pelo menos 2.388 organizações expostas com DSNs injetáveis válidos e que testou o ataque de maneira controlada contra mais de 100 organizações, alcançando uma taxa de sucesso de exploração de 85% contra erros injetados em alguns dos assistentes de codificação de IA mais usados.
A Sentry, por sua vez, reconheceu o problema, mas optou por não corrigi-lo, afirmando que é “tecnicamente indefensável”. No entanto, diz-se que a empresa ativou um filtro de conteúdo global que bloqueia uma “string de carga útil específica”.
“À medida que as empresas correm para implantar agentes de codificação de IA, esta pesquisa prova que os próprios agentes são agora a superfície de ataque – voltados contra os desenvolvedores que confiam neles, usando nada além de dados que essas organizações publicam sobre si mesmas”, disse Tenet. "O ataque ignora EDR, WAF, IAM, VPN, Cloudflare e firewalls – porque não há nada malicioso para detectar. Cada ação na cadeia é autorizada."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #de #agentjacking #engana #agentes #de #codificação #de #ia #para #executar #códigos #maliciosos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário