ایجنتجکینگ: کالبدشکافی اکسپلویت جدیدی که دستیارهای برنامهنویسی هوش مصنوعی را علیه توسعهدهندگان میکند
شرکت امنیت سایبری Tenet Security حمله جدید و بحرانی به نام «ایجنتجکینگ» (Agentjacking) را کشف کرده است که از ادغامهای Sentry و پروتکل زمینه مدل (MCP) برای کنترل دستیارهای برنامهنویسی هوش مصنوعی سوءاستفاده میکند. هکرها با تزریق کدهای مخرب از طریق اطلاعات کاربری عمومی ردیابی خطا، میتوانند دستیارها را برای سرقت کلیدهای AWS، اطلاعات کاربری گیت و مخازن خصوصی فریب دهند.
نکات کلیدی
- • شرکت امنیت سایبری Tenet Security حمله جدید و بحرانی به نام «ایجنتجکینگ» (Agentjacking) را کشف کرده است که از ادغامهای Sentry و پروتکل زمینه مدل (MCP) برای کنترل دستیارهای برنامهنویسی هوش مصنوعی سوءاستفاده میکند
- • هکرها با تزریق کدهای مخرب از طریق اطلاعات کاربری عمومی ردیابی خطا، میتوانند دستیارها را برای سرقت کلیدهای AWS، اطلاعات کاربری گیت و مخازن خصوصی فریب دهند
ایجنتجکینگ: کالبدشکافی اکسپلویت جدیدی که دستیارهای برنامهنویسی هوش مصنوعی را علیه توسعهدهندگان میکند
دستیارهای برنامهنویسی هوش مصنوعی مانند Claude Code، Cursor و OpenAI Codex به سرعت به ابزارهایی ضروری تبدیل شدهاند و نحوه عیبیابی، بازنویسی (Refactor) و استقرار کدها توسط مهندسان نرمافزار را متحول کردهاند. با این حال، کشف پیشگامانه شرکت امنیت سایبری Tenet Security واقعیت تکاندهندهای را آشکار میسازد: این همکاران دیجیتال و خودکار میتوانند فریب خورده و به عنوان خرابکاران داخلی عمل کنند.
این اکسپلویت جدید که «ایجنتجکینگ» (Agentjacking) نامیده شده است، فایروالهای سنتی و نرمافزارهای امنیتی را دور میزند تا دستورات غیرمجاز را روی سیستمهای توسعهدهندگان اجرا کند. مهاجمان با سوءاستفاده از نحوه پردازش دادههای پلتفرمهای خارجی توسط دستیارهای هوش مصنوعی، میتوانند کدهای منبع اختصاصی، کلیدهای AWS، اطلاعات کاربری گیت (Git) و متغیرهای محیطی فعال را به طور مخفیانه به سرقت ببرند.
ایجنتجکینگ چگونه کار میکند: آلودهسازی خط لوله مشاهدهپذیری
در هسته این اکسپلویت، پلتفرم محبوب ردیابی خطای Sentry و پروتکل زمینه مدل (MCP) قرار دارند؛ استانداردی باز که به دستیارهای هوش مصنوعی اجازه میدهد ابزارهای خارجی را به صورت امن فراخوانی کنند.
مسیر این حمله به طرز شگفتآوری ساده و دقیق است و به هیچگونه نفوذ به شبکه یا اطلاعات کاربری سرقتشده نیاز ندارد:
- یافتن DSN: هر پروژه در Sentry از یک شناسه کاربری عمومی و فقطنوشتنی به نام Data Source Name (یا DSN) برای ثبت خطاهای بخش فرانتاند اپلیکیشن استفاده میکند. مهاجمان به راحتی این DSNها را از کدهای جاوااسکریپت مرورگر یا مخازن عمومی گیتهاب استخراج میکنند.
- تزریق محموله مخرب (Payload): مهاجم با استفاده از DSN، یک گزارش خطای جعلی را مستقیماً به نقطه پایانی (Endpoint) متعلق به Sentry سازمان ارسال میکند. درون ردپاهای عیبیابی (Breadcrumbs) یا ردیابی پشته (Stack trace) خطا، یک کد مارکداون مهندسیشده قرار دارد که حاوی دستورات مخرب است (به عنوان مثال، دانلود یک پکیج
npmیاnpx). - تحریک دستیار هوش مصنوعی: هنگامی که توسعهدهنده به دستیار هوش مصنوعی خود دستور میدهد تا خطاهای حلنشده Sentry را تحلیل یا رفع کند، دستیار گزارشهای خطا را از طریق سرور رسمی MCP متعلق به Sentry دریافت میکند.
- اجرای خودکار: از آنجا که مدلهای هوش مصنوعی دادههای دریافتی از ابزارها را به عنوان «حقیقت محض» (Ground truth) و قابل اعتماد در نظر میگیرند و نه ورودیهای کاربرِ بررسینشده، دستیار برنامهنویسی مراحل عیبیابی تزریقشده را به عنوان راهنمایی معتبر تفسیر میکند. سپس به طور خودکار دستور مخرب را روی سیستم محلی توسعهدهنده و با دسترسیهای سیستمی او اجرا میکند.
توهم امنیت: کور کردن ابزارهای EDR و WAF
آنچه ایجنتجکینگ را به شدت خطرناک میکند این است که زیرساختهای امنیتی سنتی را کاملاً کور و بیاثر میسازد.
از آنجا که دستیار هوش مصنوعی به طور صریح توسط توسعهدهنده مجاز شناخته شده است، هر اقدامی که انجام میدهد تحت نشست کاربر فعال و اطلاعات کاربری خود توسعهدهنده اجرا میشود. ابزارهای شناسایی و پاسخ به تهدیدات نقاط پایانی (EDR) تنها یک فرآیند قابل اعتماد را مشاهده میکنند که دستورات استاندارد توسعهدهنده را اجرا میکند. فایروالهای وب (WAF) و سیاستهای مدیریت دسترسی (IAM) نیز ترافیک خروجی به مخازن عمومی مانند npm را به عنوان فعالیتهای روتین برنامهنویسی در نظر میگیرند.
سطح حمله بسیار گسترده
ابعاد این تهدید فراتر از حد تئوری است. تیم تحقیقاتی Tenet Security — شامل ران بابروف (Ron Bobrov)، باراک استرنبرگ (Barak Sternberg) و نِوو پوران (Nevo Poran) — حداقل ۲٬۳۸۸ سازمان را شناسایی کردند که دارای DSNهای افشاشده و قابل تزریق در Sentry بودند.
در تستهای کنترلشده روی بیش از ۱۰۰ سازمان، پژوهشگران به نرخ موفقیت ۸۵ درصدی در بهرهبرداری دست یافتند. در طول این آزمایشها، دستیارهای هوش مصنوعی در چندین شرکت بزرگ، از جمله یک شرکت فناوری در لیست Fortune 100، با موفقیت محموله مخرب اثبات مفهوم (PoC) را اجرا کردند.
کاهش تهدید: راه طولانی در پیش رو
پلتفرم Sentry در تاریخ ۳ ژوئن ۲۰۲۶ این گزارش را تایید کرد و یک فیلتر محتوا برای مسدود کردن رشته خاصی که در آزمایشهای Tenet استفاده شده بود، اعمال نمود. با این حال، Sentry اشاره کرد که ارائه یک وصله ساختاری و ریشهای در سطح پلتفرم «از نظر فنی توجیهپذیر نیست». این آسیبپذیری ناشی از آن است که مدلهای هوش مصنوعی به طور ذاتی به ورودیهای MCP متصلشده بیشتر از ورودیهای انسانی اعتماد میکنند؛ چالش معماری مهمی که صنعت هوش مصنوعی هنوز راه حلی برای آن پیدا نکرده است.
برای کمک به توسعهدهندگان جهت ایمنسازی سیستمهای خود، Tenet Security ابزاری متنباز برای کاهش این تهدید به نام Agent-JackStop منتشر کرده است. تا زمانی که توسعهدهندگان ابزارهای هوش مصنوعی لایههای اعتبارسنجی سختگیرانهتری را برای خروجی ابزارها اعمال کنند، به سازمانها اکیداً توصیه میشود تنظیمات MCP خود را ممیزی کنند، اجرای خودکار دستورات را غیرفعال نمایند و از DSNهای عمومی Sentry خود در برابر استخراج آسان محافظت کنند.
برچسبها
منابع و ارجاعات مستند
پیشنهاد مطالعه بعدی
ائتلاف ۳۵ میلیارد دلاری AI XPV: چگونه اعتبار خصوصی و سیلیکون سفارشی انویدیا را دور میزنند
پایان دوران وابستگی: چگونه MAI-Thinking-1 مایکروسافت وابستگی به OpenAI را از بین میبرد
رونمایی از GPT-5.6: اوپنایآی مدلهای Sol، Terra و Luna را تحت نظارت دولت آمریکا عرضه کرد
خوشتان آمد؟ مقاله بعدی را بگیرید
در خبرنامه عضو شوید تا راهنمای بعدی در ایمیلتان باشد — بدون مزاحمت، لغو عضویت در هر زمان.