Yapay Zeka Kodlama Ajanlarını Hedef Alan Yeni 'Agentjacking' Saldırıları Keşfedildi Yazılım

Yapay Zeka Kodlama Ajanlarını Hedef Alan Yeni 'Agentjacking' Saldırıları Keşfedildi

Tenet Security, AI kodlama ajanlarını hedef alan 'agentjacking' adlı yeni bir saldırı vektörünü ortaya çıkardı. Sentry aracındaki mimari zafiyet sayes

Araştırmacılar, yapay zeka (AI) kodlama ajanlarını hedef alan 'yeni bir saldırı sınıfı' olarak tanımladıkları 'agentjacking' yöntemini duyurdu. Bu saldırı, geliştiriciler tarafından yaygın olarak kullanılan Sentry uygulama performans izleme ve hata takip aracındaki bir mimari zafiyetten yararlanıyor. Tenet Security şirketinin raporuna göre, saldırganlar Sentry hata olaylarına, aracın kendi düzeltme yönergelerinden ayırt edilemeyecek şekilde kötü amaçlı komutlar enjekte edebiliyor. AI kodlama ajanları daha sonra bu talimatları okuyarak yürütüyor ve bu da dolaylı bir prompt enjeksiyon saldırısına benzer bir etki yaratıyor.

Saldırının adım adım işleyişi oldukça endişe verici. İlk olarak, saldırgan hedefin Sentry DSN'sini (Data Source Name) buluyor. Sentry bu DSN'yi frontend JavaScript'te gömülü olarak kullanıma sunuyor ve yalnızca yazma izni olan bu kimlik bilgisini herkese açık olarak kabul ediyor. Ardından, saldırgan Sentry'nin veri alım uç noktasına POST isteğiyle kötü amaçlı bir hata olayı gönderiyor. Bu olay, mesaj alanında ve bağlam anahtar adlarında özenle biçimlendirilmiş işaretleme dili (markdown) içeriyor. Sentry MCP sunucusu üzerinden AI ajanına döndürüldüğünde, bu içerik Sentry'nin sistem şablonuyla görsel olarak aynı yapılandırılmış bir içerik olarak işleniyor. Geliştirici, AI kodlama ajanından 'çözülmemiş Sentry sorunlarını düzeltmesini' istediğinde, ajan Sentry'yi sorguluyor ve meşru yönergelerle aynı görünen kötü amaçlı olayı alıyor. Ajan, bu yönergeleri geliştiricinin tüm ayrıcalıklarıyla çalıştırıyor.

Tenet Security, bu saldırının özellikle tehlikeli olduğunu çünkü herhangi bir kimlik avı (phishing) gerektirmediğini ve Sentry DSN'sinin kasıtlı olarak herkese açık olduğunu vurguluyor. Ajanlar gerçek ile sahte yönergeleri ayırt edemiyor ve bir yük (payload) oluşturulduktan sonra aynı anda binlerce projeye enjekte edilebiliyor. Araştırmacılar, teorilerini 100'den fazla gerçek dünya hedefi üzerinde test etti ve Claude Code, Cursor ve Codex dahil olmak üzere piyasadaki en popüler ajanlarda %85 başarı oranı elde etti. Ayrıca, geçerli enjekte edilebilir DSN'lere sahip en az 2388 kuruluşun bu saldırıya açık olduğunu tespit ettiler. Tek bir kötü amaçlı talimat, CI/CD ardışık düzeni kimlik bilgilerini çalmak, özel kaynak kodu depolarına erişmek, bulut altyapısını tehlikeye atmak ve kalıcı erişim sağlamak için kullanılabiliyor.

Saldırı, mevcut güvenlik araçlarını (EDR, web uygulaması güvenlik duvarları) atlatıyor çünkü tespit edilecek kötü amaçlı bir şey yok; ajanlar, güvenilmeyen verileri yok saymaları istendiğinde bile yükü çalıştırdı. Tenet Security raporu şu sonuca varıyor: 'AI kodlama ajanları yazılım geliştirmeyi dönüştürürken, MCP araç yanıtlarına duydukları örtük güven kritik yeni bir saldırı yüzeyi oluşturuyor. Gözlem platformunuza bağlı bir AI asistanının rahatlığı, bu asistanın size karşı silah haline getirilmesi riskini de beraberinde getiriyor.' Güvenlik liderlerinin, AI ajanlarının hangi araçlara bağlandığını, bu araçların güvenilmeyen veri döndürüp döndürmediğini ve enjekte edilen verilerin kod çalıştırmayı tetiklemesini önlemek için hangi kontrollerin mevcut olduğunu değerlendirmeye başlaması gerekiyor.

Paylaş: