Güvenlik araştırmacıları, yapay zeka kodlama ajanlarını hedef alan yeni bir saldırı sınıfını gün yüzüne çıkardı. 'Agentjacking' adı verilen bu saldırılar, geliştiriciler arasında yaygın olarak kullanılan Sentry uygulama performans izleme ve hata takip aracındaki bir mimari açıktan faydalanıyor. Tenet Security'nin raporuna göre, saldırganlar Sentry hata olaylarına kötü amaçlı komutlar enjekte ederek, AI kodlama ajanlarını kandırıp geliştirici makinelerinde keyfi kod çalıştırmalarını sağlayabiliyor.
Saldırı, AI ajanlarının MCP araç yanıtlarına duyduğu örtülü güveni kullanıyor. Tenet'in açıklamasına göre, bir AI ajanı Sentry'den çözülmemiş hataları sorguladığında, tıpkı bir geliştirici gibi yanıtı alıyor ve ona göre hareket ediyor. Ancak ajan, bir hata olayının gerçek bir uygulama çökmesinden mi yoksa bir saldırgan tarafından mı enjekte edildiğini doğrulayamıyor. Bu da enjekte edilen verilerden kod yürütmeye kadar doğrudan bir yol oluşturuyor.
Raporda adım adım saldırı yöntemi de açıklandı. Saldırgan, hedefin Sentry DSN'sini bularak başlıyor. Bu, Sentry'nin ön uç JavaScript'e gömülmesinin güvenli olduğunu belirttiği herkese açık, salt yazılır bir kimlik bilgisi. DSN kullanılarak Sentry'nin alım uç noktasına POST ile kötü amaçlı bir hata olayı gönderiliyor. Enjekte edilen olay, mesaj alanında ve bağlam anahtar adlarında özenle biçimlendirilmiş işaretleme içeriyor. AI ajanı bu olayı sorguladığında, Sentry'nin sistem şablonuyla görsel olarak aynı yapılandırılmış içerik olarak işleniyor. Geliştirici 'çözülmemiş Sentry sorunlarını düzelt' gibi bir komut verdiğinde, ajan sorguluyor ve meşru kılavuzdan ayırt edemediği kötü amaçlı olayı alıp kodunu çalıştırıyor.
Tenet, agentjacking'in özellikle tehlikeli olduğunu çünkü herhangi bir kimlik avı gerektirmediğini ve Sentry DSN'sinin kasıtlı olarak herkese açık olduğunu vurguluyor. Araştırmacılar, 100'den fazla gerçek dünya hedefi üzerinde test yaparak, Claude Code, Cursor ve Codex gibi popüler ajanlarda %85 başarı oranı elde ettiklerini belirtti. Ayrıca en az 2388 kuruluşun geçerli enjekte edilebilir DSN'lere sahip olduğu tespit edildi. Rapor, bu saldırının CI/CD boru hattı kimlik bilgilerini çalma, özel kaynak kod depolarına erişme, bulut altyapısını tehlikeye atma ve kalıcı erişim sağlama gibi ciddi sonuçlar doğurabileceği uyarısında bulunuyor.