TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

新たな「エージェントジャッキング」攻撃——AIコーディングエージェントを乗っ取る恐れ

研究者たちが、AIコーディングエージェントを騙して開発者のマシン上で任意のコードを実行させる「新たな攻撃クラス」を明らかにしました。

自律型AIエージェントのセキュリティを専門とするTenet Securityは、「エージェントジャッキング」攻撃が、開発者の間で広く利用されているアプリパフォーマンス監視・エラートラッキングツール「Sentry」のアーキテクチャ上の欠陥を悪用するものだと述べています。

Tenetのレポートで説明されている手法を使うと、攻撃者はSentryのエラーイベントにツール自体の修正ガイダンスと見分けのつかない悪意のあるコマンドを注入することができます。

AIコーディングエージェントはこれらの指示を読み取って実行しますが、その動作は 間接プロンプトインジェクション攻撃に類似しています。

コーディングエージェントの関連記事:Cline Kanbanの脆弱性、ウェブサイトによるAIコーディングエージェントのハイジャックを可能に

「この暗黙の信頼こそが危険の根源です。AIエージェントがSentryに未解決のエラーを問い合わせると、レスポンスを受け取り、まるで開発者のように行動します」とTenetはブログ投稿で説明しています。

「しかし開発者と異なり、エージェントはエラーイベントが実際のアプリケーションのクラッシュによって生成されたものか、攻撃者によって注入されたものかを検証できません。MCPツールのレスポンスに対するエージェントの信頼が、注入されたデータからコード実行への直接的な経路を生み出しているのです」

攻撃手法のステップ・バイ・ステップ

レポートでは、攻撃がどのように機能するかを詳細に説明しています。

  1.  攻撃者が標的のSentry DSNを入手します。DSNはSentryがフロントエンドのJavaScriptへの埋め込みを安全と公式ドキュメントで明記している、公開された書き込み専用のクレデンシャルです
  2. DSN以外の認証を必要とせず、POSTリクエストでSentryのインジェストエンドポイントへ悪意のあるエラーイベントを送信します
  3. 注入されたイベントのメッセージフィールドとコンテキストキー名には「慎重にフォーマットされたマークダウン」が含まれています。Sentry MCPサーバー経由でAIエージェントに返されると、Sentryのシステムテンプレートと視覚的に区別がつかない構造化コンテンツとしてレンダリングされます
  4. 開発者がAIコーディングエージェントに「未解決のSentryの問題を修正して」などと依頼すると、エージェントはMCP経由でSentryに問い合わせて悪意のあるイベントを受け取ります。正規のガイダンスと区別することができません
  5. エージェントはコードを実行し、そのコードは開発者の完全な権限で動作します

信頼されたツールを標的に

Tenetは、フィッシングが不要であることと、SentryのDSNが「意図的に公開されフロントエンドのJavaScriptに埋め込まれている」ことから、エージェントジャッキングは特に危険だと述べています。

エージェントは本物のガイダンスと偽物を区別できないため、ペイロードが一度作成されれば、数千ものプロジェクトに同時に注入される可能性があります。

研究者たちは100件以上の実際のターゲットに対して悪用可能性を確認し、この理論を検証しました。Claude Code、Cursor、Codexを含む市場で最も人気のあるエージェントに対して85%の成功率を達成しています。

また、有効な注入可能なDSNを持つ組織が少なくとも2388件露出していることも判明しました。

レポートでは、1つの悪意のある指示によってCI/CDパイプラインのクレデンシャル窃取、プライベートソースコードリポジトリへのアクセス、クラウドインフラの侵害、持続的なアクセスの確立が可能になると警告しています。

この攻撃は、EDRやWebアプリケーションファイアウォールといった既存のセキュリティツールをバイパスします。検出すべき悪意のある要素が存在せず、エージェントは信頼できないデータを無視するよう指示された場合でもペイロードを実行してしまうためです。

「AIコーディングエージェントがソフトウェア開発を変革しつつある一方で、MCPツールのレスポンスへの暗黙の信頼が重大な新たな攻撃対象領域を生み出しています。オブザーバビリティプラットフォームに接続されたAIアシスタントの利便性は、そのアシスタントが自分自身に対して武器として使われるリスクと背中合わせです」とレポートは結論づけています。

「セキュリティリーダーは、MCPの統合がソフトウェアサプライチェーン攻撃の次のフロンティアになりつつあることを認識しなければなりません。AIエージェントが接続しているツール、それらのツールが信頼できないデータを返す可能性があるかどうか、そして注入されたデータによるコード実行を防ぐためのコントロールが何であるかを、今すぐ評価し始めることが不可欠です」

翻訳元: https://www.infosecurity-magazine.com/news/agentjacking-attacks-hijack-ai/

ソース: infosecurity-magazine.com
#AIコーディングエージェント #CI/CDセキュリティ #MCP(Model Context Protocol) #Sentry #Tenet Security #エージェントジャッキング #サイバーセキュリティ #サプライチェーン攻撃 #プロンプトインジェクション #脆弱性

関連記事

恐喝専用攻撃が増加——ランサムウェア被害請求の主役はデータ窃取に

TikTokの偽ソフトウェアチュートリアルでVidar Stealerが拡散

SilabRAT:セッションを乗っ取り仮想通貨を盗む新型トロイの木馬