Nowości
Fałszywy zgłoszony błąd przejął kontrolę nad agentami kodującymi AI w tysiącach firm
Posłuchaj tego artykułu
Badacze z Tenet Security pokazali, że jeden spreparowany raport błędu w Sentry potrafi przejąć Claude Code, Cursor i Codex i uruchomić dowolny kod na komputerze programisty, a podatnych na atak było ponad 2 tysiące organizacji, w tym firma wyceniana na 250 miliardów dolarów.
Spis treści
Firma badawcza Tenet Security opisała technikę nazwaną agentjacking, która pozwala przejąć kontrolę nad agentami kodującymi AI za pomocą pojedynczego, spreparowanego zgłoszenia błędu w popularnym narzędziu do monitoringu aplikacji Sentry. W kontrolowanych testach atak skutecznie oszukiwał Claude Code, Cursor oraz OpenAI Codex, doprowadzając do uruchomienia kodu kontrolowanego przez atakującego na komputerze programisty.
Jak działa atak
Sentry to narzędzie do śledzenia błędów używane przez ponad 200 tysięcy organizacji, w tym GitHub, Disneya, Anthropic czy Atlassian. Zgłoszenia błędów trafiają do Sentry przez publicznie dostępny klucz DSN, wpisany w kod strony internetowej, bez żadnego uwierzytelnienia. Atakujący wystarczy odnaleźć taki klucz, po czym wysyła spreparowany raport błędu z ukrytą sekcją opisującą rzekome rozwiązanie problemu.
Kiedy programista prosi agenta AI o naprawienie zgłoszonego błędu, narzędzie pobiera dane z Sentry przez protokół MCP i traktuje je jako zaufaną informację systemową, nie odróżniając prawdziwej awarii od spreparowanej. W efekcie agent wykonuje ukrytą komendę, instalując pakiet npm, który kradnie zmienne środowiskowe, klucze AWS, tokeny GitHub oraz klucze SSH z uprawnieniami programisty.
Skala problemu
Według Tenet Security podatnych na ten typ ataku, czyli posiadających publicznie dostępny i możliwy do wykorzystania klucz DSN, było 2388 organizacji, od jednoosobowych zespołów po firmy z listy Fortune 500. Skuteczność ataku w testowanej próbie sięgnęła 85 procent, a wśród potwierdzonych ofiar, które faktycznie wykonały złośliwy kod, znalazła się firma wyceniana na około 250 miliardów dolarów.
Badacze podkreślają, że atak omija klasyczne zabezpieczenia, bo z punktu widzenia systemów kontroli dostępu, firewalli czy narzędzi klasy EDR każdy krok w tym łańcuchu jest w pełni autoryzowany. To agent AI, działający z uprawnieniami programisty, sam wykonuje polecenie, więc żadne z istniejących narzędzi bezpieczeństwa nie ma powodu, by cokolwiek zablokować.
Reakcja Sentry i łatanie luki
Tenet Security zgłosiło problem Sentry 3 czerwca, a firma odpowiedziała tego samego dnia, jednak zamiast naprawić przyczynę problemu, ograniczyła się do filtrowania konkretnych ciągów znaków pojawiających się w złośliwych ładunkach. Według cytowanej wypowiedzi przedstawicieli Sentry, sam mechanizm przekazywania treści z zewnętrznych źródeł do agentów AI jest trudny do obronienia w obecnej architekturze narzędzia.
Tenet Security udostępniło bezpłatnie narzędzie o nazwie agent-jackstop, czyli gotowe konfiguracje utrudniające ten typ ataku w Cursorze i Claude Code. To rozwiązanie tymczasowe, ponieważ fundamentalny problem, czyli niezdolność agentów AI do odróżnienia danych wejściowych od instrukcji do wykonania, pozostaje nierozwiązany w całej branży.
Znaczenie dla firm korzystających z agentów kodujących
Odkrycie trafia w moment, gdy agenty kodujące, od Claude Code przez Cursor po chińskie ZCode, stają się standardowym narzędziem pracy programistów na całym świecie, w tym w Polsce. Pokazuje ono, że każdy kanał, przez który agent AI pobiera dane zewnętrzne, monitoring błędów, dokumentację, zgłoszenia klientów, może stać się wektorem ataku, jeśli agent nie potrafi odróżnić informacji od polecenia.
Dla zespołów wdrażających agenty kodujące w firmach oznacza to konieczność traktowania integracji z zewnętrznymi usługami przez protokół MCP jako potencjalnej powierzchni ataku, a nie tylko wygodnego źródła kontekstu. Zanim branża wypracuje trwałe zabezpieczenia architektoniczne, podstawową ochroną pozostaje ograniczanie uprawnień, jakie agenty AI otrzymują domyślnie na maszynach deweloperskich.
Źródła: Fake Bug Report Hijacks AI Coding Agents at Scale (darkreading.com), Agentjacking: a fake bug report hijacks AI coding agents (thenextweb.com), One Fake Bug Report Hijacked a 250B Company's AI Agent (tenetsecurity.ai)


