Yapay zeka (AI) kodlama asistanlarının popülaritesi artarken, bu araçları hedef alan yeni bir saldırı türü ortaya çıktı. Tenet Security araştırmacıları, 'agentjacking' adını verdikleri bu saldırının, AI kodlama asistanlarını kandırarak geliştiricilerin makinelerinde keyfi kod çalıştırabildiğini duyurdu. Saldırı, özellikle geliştiriciler arasında yaygın olarak kullanılan Sentry uygulama performans izleme ve hata takip aracındaki bir mimari kusurdan yararlanıyor. Araştırmacılar, bu yöntemin yazılım tedarik zinciri için ciddi bir tehdit oluşturduğunu vurguluyor.
Saldırının işleyişi oldukça sinsi: Bir saldırgan, hedefin Sentry DSN (Data Source Name) bilgisini ele geçiriyor. Sentry, DSN'yi ön uç JavaScript'te bulundurmayı güvenli olarak belgelese de, bu bilgi aslında herkese açık ve salt yazılır bir kimlik bilgisi. Saldırgan, Sentry'nin alım uç noktasına POST yöntemiyle kötü amaçlı bir hata olayı gönderiyor. Bu olay, Sentry'nin sistem şablonuna görsel olarak benzeyen ancak zararlı kod içeren bir mesaj alanı içeriyor. Ardından, geliştirici AI kodlama asistanına 'çözülmemiş Sentry sorunlarını düzelt' gibi bir komut verdiğinde, asistan Sentry MCP sunucusu üzerinden sorgulama yapıyor ve sahte hata olayını alıyor. Asistan, bu olayı gerçek bir rehberlikten ayırt edemiyor ve içindeki kodu geliştiricinin tam yetkileriyle çalıştırıyor.
Araştırmacılar, saldırının etkisini test etmek için 100'den fazla gerçek dünya hedefi üzerinde denemeler yaptı. Claude Code, Cursor ve Codex gibi popüler AI asistanlarında %85 başarı oranı elde ettiler. Ayrıca, en az 2388 kuruluşun geçerli ve enjekte edilebilir DSN'lere sahip olduğunu tespit ettiler. Tek bir kötü amaçlı talimat, CI/CD boru hattı kimlik bilgilerini çalmak, özel kaynak kodu depolarına erişmek, bulut altyapısını tehlikeye atmak ve kalıcı erişim sağlamak için kullanılabiliyor. Saldırı, mevcut güvenlik araçlarını (EDR, web uygulama güvenlik duvarları) atlatıyor çünkü tespit edilecek kötü niyetli bir şey bulunmuyor. Asistanlar, güvenilmeyen verileri yok sayma talimatı verilse bile payload'ı çalıştırıyor.
Tenet Security, bu saldırının AI kodlama asistanlarının MCP araç yanıtlarına olan örtük güveninden kaynaklandığını belirtiyor. Araştırmacılar, 'AI asistanlarının gözlem platformunuza bağlı olmasının rahatlığı, asistanın size karşı silah haline getirilmesi riskini de beraberinde getiriyor' uyarısında bulunuyor. Güvenlik liderlerine, AI asistanlarının hangi araçlara bağlandığını, bu araçların güvenilmeyen veri döndürüp döndürmediğini ve enjekte edilen verilerin kod yürütmeyi tetiklemesini önlemek için hangi kontrollerin bulunduğunu değerlendirmeleri çağrısı yapılıyor. Agentjacking, yazılım tedarik zinciri saldırılarının yeni bir cephesi olarak görülüyor.