Agentenübernahmeangriffe
Cybersicherheitsforscher haben eine neue Angriffstechnik namens Agentjacking entdeckt. Dabei handelt es sich um eine Methode, mit der künstliche Intelligenz-Codierungsassistenten so manipuliert werden können, dass sie vom Angreifer kontrollierten Code auf Entwicklersystemen ausführen.
Der Angriff nutzt einen gefälschten Fehlerbericht, der von Sentry, der weit verbreiteten Open-Source-Plattform für Fehlerverfolgung und Leistungsüberwachung, generiert wird. Laut den Forschern beruht die Schwachstelle auf einer grundlegenden Architekturschwäche im Zusammenhang mit Sentrys Mechanismus zur Ereigniserfassung und dessen Integration mit KI-Systemen über das Model Context Protocol (MCP).
Da Sentry beliebige Ereignis-Payloads von jedem mit einem gültigen Datenquellennamen (DSN) akzeptiert, können Angreifer schädlichen Inhalt in Fehlerberichte einschleusen. Werden diese Berichte später von KI-Programmierassistenten wie Claude Code oder Cursor über den Sentry MCP-Server abgerufen, kann der eingeschleuste Inhalt fälschlicherweise als legitime Fehlerbehebungshinweise interpretiert werden.
Inhaltsverzeichnis
Der architektonische Fehler hinter dem Angriff
Das Kernproblem bei Agentjacking ist ein Vertrauensproblem, das durch mit dem MCP verbundene externe Dienste entsteht. Der Sentry-MCP-Server gibt Ereignisdaten als vertrauenswürdige Ausgabe an KI-Agenten zurück, selbst wenn die Daten aus nicht verifizierten Quellen stammen.
Daher können KI-Codierungsagenten nicht zuverlässig feststellen, ob ein Fehlerereignis durch einen tatsächlichen Anwendungsfehler verursacht oder absichtlich von einem Angreifer eingeschleust wurde. Diese Unfähigkeit, vertrauenswürdige Inhalte von schädlichen Eingaben zu unterscheiden, ermöglicht die Ausführung beliebigen Codes, sobald der Agent die bereitgestellten Anweisungen verarbeitet und befolgt.
Ein erfolgreicher Angriff kann hochsensible Informationen offenlegen, darunter Umgebungsvariablen, Git-Zugangsdaten, private Repository-URLs und Entwickleridentitätsdaten. Bemerkenswert ist, dass der Angriff weder Phishing-Kampagnen noch den Einsatz von Schadsoftware oder eine vorherige Kompromittierung der Zielinfrastruktur erfordert.
Wie die Agentjacking-Angriffskette funktioniert
Der Angriff entfaltet sich in einer Reihe sorgfältig geplanter Phasen:
- Ein Angreifer identifiziert den Sentry DSN einer Zielorganisation, ein öffentliches, nur zum Schreiben geeignetes Benutzerkonto, das üblicherweise in Websites eingebettet ist.
- Mithilfe des offengelegten DSN wird ein bösartiges Fehlerereignis über eine POST-Anfrage an den Ingestionsendpunkt von Sentry übermittelt.
- Das eingefügte Ereignis enthält speziell präparierten Markdown-Inhalt, der in Nachrichtenfelder und Kontextschlüsselnamen eingebettet ist.
- Wenn der Sentry MCP-Server das Ereignis abruft, wird der schädliche Inhalt als strukturierte Information dargestellt, die optisch legitimen, von Sentry generierten Anweisungen ähnelt.
- Anschließend weist ein Entwickler einen KI-Programmierassistenten an, ungelöste Sentry-Probleme zu untersuchen oder zu beheben.
- Der KI-Agent fragt Sentry über MCP ab und empfängt das vom Angreifer gesteuerte Ereignis.
- Die bösartigen Anweisungen werden als vertrauenswürdige Abhilfemaßnahmen behandelt, was dazu führt, dass der KI-Agent den vom Angreifer bereitgestellten Code mit den Berechtigungen des Entwicklers ausführt.
Warum der Angriff so effektiv ist
Einer der besorgniserregendsten Aspekte von Agentjacking ist, dass Angreifer niemals direkt mit der Infrastruktur des Opfers interagieren. Stattdessen werden schädliche Anweisungen in scheinbar normalen Fehlerberichten versteckt.
Wenn Entwickler Unterstützung von ihren KI-Codierungsagenten anfordern, wird die manipulierte Fehlermeldung als legitimer Lösungsvorschlag interpretiert. Der KI-Agent führt die Anweisungen dann auf dem Rechner des Entwicklers mit dessen Berechtigungen aus.
Agentjacking ist besonders gefährlich, da es die Vertrauensbeziehung zwischen Entwicklern und KI-Assistenten ausnutzt. Die Markdown-Injection-Technik ist so überzeugend gestaltet, dass der KI-Agent den schädlichen Inhalt nicht von den authentischen, von Sentry generierten Anweisungen unterscheiden kann.
Weitverbreitete Offenlegung und Reaktion der Anbieter
Forscher haben Berichten zufolge mindestens 2.388 Organisationen mit gültigen und injizierbaren Sentry DSNs identifiziert, was das potenzielle Ausmaß des Problems verdeutlicht.
Sentry hat die Ergebnisse zur Kenntnis genommen, ist aber Berichten zufolge zu dem Schluss gekommen, dass eine vollständige technische Lösung nicht möglich ist. Stattdessen hat das Unternehmen einen globalen Inhaltsfiltermechanismus implementiert, der ein bestimmtes, bekanntes Payload-Muster im Zusammenhang mit dem Angriff blockieren soll.
KI-Agenten werden zur neuen Angriffsfläche
Das Auftreten von Agentjacking zeigt, wie KI-Programmierassistenten sich rasant zu einer neuen und attraktiven Angriffsfläche entwickeln. Anstatt traditionelle Sicherheitsmaßnahmen ins Visier zu nehmen, können Angreifer vertrauenswürdige Datenflüsse ausnutzen, die Unternehmen offenlegen.
Der Angriff kann viele gängige Sicherheitstechnologien umgehen, darunter Endpoint Detection and Response (EDR)-Lösungen, Web Application Firewalls (WAFs), Identity and Access Management (IAM)-Systeme, VPNs, Cloudflare-Schutz und herkömmliche Firewalls. Da jede Aktion innerhalb der Angriffskette autorisiert und legitim erscheint, ist für Sicherheitstools möglicherweise keine offensichtliche schädliche Aktivität erkennbar.
Da Unternehmen die Einführung KI-gestützter Softwareentwicklung beschleunigen, dient Agentjacking als eindringliche Erinnerung daran, dass das Vertrauen in KI-Agenten selbst zu einer Sicherheitslücke werden kann, wenn externe Datenquellen als grundsätzlich vertrauenswürdig behandelt werden.
