يكشف باحثون في مجال الأمن السيبراني عن فئة جديدة من الهجمات تستهدف برامج الذكاء الاصطناعي المساعدة في كتابة الأكواد، والمعروفة بـ “Agentjacking”، والتي يمكنها خداع هذه الأنظمة لتنفيذ أوامر عشوائية على أجهزة المطورين.
تعتمد هذه الهجمات على رسائل خطأ وهمية مصممة بعناية، ويتم إرسالها عبر منصات مفتوحة المصدر مثل Sentry، وهي أداة شائعة لمراقبة الأخطاء وتتبعها. تستغل الثغرة نقطة ضعف معمارية أساسية في طريقة استقبال Sentry للبيانات، بالإضافة إلى كيفية معالجتها من قبل وكلاء الذكاء الاصطناعي.
هجوم Agentjacking: اختراق أنظمة الذكاء الاصطناعي المساعدة
يشير الباحثون إلى أن الهجوم يستغل نقطة ضعف في بروتوكول سياق النموذج (MCP)، حيث يعتمد الوكيل الذكي على الثقة الضمنية عند الاتصال بخدمات خارجية. لا يستطيع الوكيل التمييز بسهولة بين خطأ حقيقي ناتج عن عطل في التطبيق وبين خطأ مدسوس من قبل مهاجم.
مع ذلك، يؤدي هذا الخلل إلى فتح باب لتنفيذ أوامر برمجية عشوائية عندما يقوم الوكيل بمعالجة الاستجابة التي يتلقاها. هذا يعني أن التعليمات الضارة تصل متخفية في شكل “حل” طبيعي لخطأ، ويقوم الوكيل بتنفيذها دون التمييز.
آلية عمل هجوم Agentjacking
تبدأ العملية بالعثور على معرف المصدر البياني (DSN) لـ Sentry لدى الهدف، وهو يعتبر مفتاحًا عامًا يمكن استخدامه للكتابة فقط. يقوم المهاجم بعد ذلك بإرسال حدث خطأ خبيث إلى نقطة استقبال Sentry باستخدام الـ DSN.
يتضمن هذا الحدث النص المدسوس “علامات تنسيق” (markdown) بعناية داخل حقل الرسالة ومفاتيح السياق. وعندما يعيد خادم Sentry إرسال هذا الحدث إلى وكيل الذكاء الاصطناعي، يتم عرضه بطريقة تشبه القوالب النظامية لـ Sentry، مما يجعله يبدو شرعيًا.
في حال طلب المطور من وكيله الذكي “إصلاح مشاكل Sentry غير المحلولة” أو ما شابه، سيقوم الوكيل بالاستعلام عن Sentry عبر MCP ويتلقى الحدث الخبيث. عقب ذلك، يقوم الوكيل بتنفيذ الشفرة البرمجية الضارة، والتي تعمل بكامل صلاحيات المطور.
تداعيات الهجوم على المطورين والمؤسسات
أفادت شركة Tenet Security بأنها رصدت ما لا يقل عن 2,388 مؤسسة معرضة لهذه الثغرة، مع وجود DSNs صالحة. وقد نجح الهجوم في 85% من الحالات المختبرة ضد مساعدي الترميز الأكثر شيوعًا.
من جهتها، اعترفت Sentry بالثغرة، لكنها أوضحت أن إصلاحها “غير ممكن تقنيًا” في الوقت الحالي. ومع ذلك، ذكرت الشركة أنها قامت بتفعيل مرشح محتوى عالمي لمنع “سلاسل حمولات محددة”.
ويذكر الباحثون أن هذا الهجوم يمثل سطح هجوم جديدًا، حيث يتحول الوكلاء الذين يعتمد عليهم المطورون إلى أدوات يمكن استخدامها ضدهم، وذلك بالاعتماد على البيانات التي تنشرها المؤسسات عن نفسها. الأدهى من ذلك، أن الهجوم يتجاوز إجراءات الحماية التقليدية مثل EDR، WAF، IAM، VPN، Cloudflare، وجدران الحماية، نظرًا لعدم وجود شيء مادي يمكن اكتشافه داخل البيانات، حيث أن كل خطوة في الهجوم تعتبر مصرح بها.