Yapay Zeka Kodlama Ajanlarına Yönelik 'Agentjacking' Saldırıları Tehdit Oluşturuyor Yazılım

Yapay Zeka Kodlama Ajanlarına Yönelik 'Agentjacking' Saldırıları Tehdit Oluşturuyor

Tenet Security araştırmacıları, AI kodlama ajanlarını hedef alan 'agentjacking' saldırılarını keşfetti. Sentry aracındaki bir mimari açık kullanılarak

Güvenlik araştırmacıları, yapay zeka (AI) kodlama ajanlarını hedef alan yeni bir saldırı sınıfı keşfettiklerini duyurdu. 'Agentjacking' adı verilen bu saldırılar, geliştiriciler arasında popüler olan Sentry uygulama performans izleme ve hata takip aracındaki bir mimari hatayı kullanıyor. Tenet Security tarafından yapılan açıklamaya göre, saldırganlar Sentry hata olaylarına kötü amaçlı komutlar enjekte ederek AI kodlama ajanlarının bu komutları meşru düzeltme talimatları sanmasını sağlıyor. Bu yöntem, dolaylı prompt enjeksiyon saldırılarına benzer bir şekilde, ajanların istenmeyen kodları çalıştırmasına yol açıyor.

Araştırmacılar, saldırının nasıl gerçekleştiğini adım adım açıkladı. İlk olarak saldırgan, hedefin Sentry DSN bilgisini elde ediyor. Bu bilgi, Sentry tarafından ön uç JavaScript'e gömülmesi için güvenli kabul edilen, herkese açık salt yazılır bir kimlik bilgisi. Ardından saldırgan, Sentry'nin API'sine bir POST isteği göndererek sahte bir hata olayı oluşturuyor. Bu olay, mesaj alanında ve bağlam anahtar adlarında özel olarak biçimlendirilmiş Markdown içeriyor. AI kodlama ajanı, Sentry MCP sunucusu üzerinden bu olayı sorguladığında, içerik Sentry'nin sistem şablonuyla görsel olarak aynı şekilde işleniyor. Geliştirici, "Sentry'deki çözülmemiş sorunları düzelt" gibi bir komut verdiğinde ajan, sahte olayı meşru bir talimat olarak algılayıp içerdiği kodu çalıştırıyor. Bu kod, geliştiricinin tüm yetkileriyle çalıştığı için büyük bir güvenlik riski oluşturuyor.

Tenet Security, 'agentjacking' saldırılarının özellikle tehlikeli olduğunu vurguluyor çünkü saldırıda herhangi bir kimlik avı (phishing) gerekmemekte ve Sentry DSN'si kasıtlı olarak herkese açık. Ajanlar, gerçek ve sahte talimatlar arasındaki farkı ayırt edemiyor. Araştırmacılar, teorilerini 100'den fazla gerçek dünya hedefi üzerinde test etti ve Claude Code, Cursor, Codex gibi en popüler AI ajanlarında %85 başarı oranı elde etti. Ayrıca, en az 2388 kuruluşun geçerli ve enjekte edilebilir DSN'ler ile açık olduğu tespit edildi. Saldırgan, tek bir kötü amaçlı talimatla CI/CD boru hattı kimlik bilgilerini çalabilir, özel kaynak kod depolarına erişebilir, bulut altyapısını tehlikeye atabilir ve kalıcı erişim sağlayabilir.

Bu saldırı, mevcut güvenlik araçlarını (EDR, WAF gibi) atlatıyor çünkü tespit edilecek kötü amaçlı bir şey bulunmuyor. Ajanlar, güvenilmeyen verileri yok sayma talimatı verilse bile payload'u çalıştırıyor. Araştırmacılar, AI kodlama ajanlarının MCP araç yanıtlarına olan örtük güveninin kritik bir saldırı yüzeyi oluşturduğunu belirtiyor. Güvenlik liderlerinin, AI ajanlarının hangi araçlara bağlandığını, bu araçların güvenilmeyen veri döndürüp döndürmediğini ve enjekte edilen verilerin kod çalıştırmasını önlemek için hangi kontrollerin bulunduğunu değerlendirmeye başlaması gerektiği vurgulanıyor. MCP entegrasyonları, yazılım tedarik zinciri saldırılarının yeni sınırı olarak görülüyor.

Paylaş: