TokyoBlackHatNews

gbhackers.com 4分で読了

AIコーディングエージェントを乗っ取り悪意あるコードを実行させる新たな「Agentjacking」攻撃

新たに開示された「Agentjacking」攻撃クラスは、フィッシング、サーバー侵害、そして通常のAIアシスタントへのエラー調査依頼を超えるユーザー操作を一切必要とせず、AIコーディングエージェントをその利用者である開発者に対する武器へと密かに変えることができます。

Tenet SecurityのThreat Labsがこの手法を開発・検証し、任意のウェブサイトのJavaScriptソースコードから入手できる公開認証情報のみを使って認証した単一の注入エラーイベントが、AIコーディングエージェントをハイジャックして開発者のマシン上で任意のコードを実行させられることを実証しました。

この攻撃は、Data Source Name(DSN)を保有する誰からでも任意のペイロードを受け付けるSentryのイベント取り込みシステムと、そのデータを信頼済みシステム出力としてAIエージェントに返すSentry MCPサーバーの交差点に存在する、致命的なアーキテクチャ上の欠陥を悪用します。

SentryはDSNをフロントエンドのJavaScriptへ埋め込んでも安全であると意図的にドキュメント化しており、侵害を必要とせずにJavaScriptソースの調査、Censys検索、またはGitHubコード検索から発見可能な状態となっています。

AIコーディングエージェントを乗っ取るAgentjacking攻撃

攻撃者がDSNを入手すると、細工されたエラーイベントをSentryの取り込みエンドポイントにPOSTします。エンドポイントはHTTP 200レスポンスでこれを受け入れ、正規のアプリケーションエラーとまったく同様に処理します。

注入されたペイロードは、慎重にフォーマットされたMarkdownの見出し、コードブロック、および偽の ## Resolution セクションを使用しており、SentryのMCPシステムテンプレートと構造的に同一のコンテンツとしてレンダリングされます。

開発者がAIコーディングエージェントに未解決のSentry問題を修正するよう依頼すると、エージェントはMCP経由でSentryにクエリを送り、注入されたイベントを受信します。エージェントはそれを正規のガイダンスと区別することができず、開発者の完全なシステム権限で攻撃者が制御する npx コマンドを実行してしまいます。

その影響は深刻で、AWSキー、GitHubトークン、Sentry認証トークン、git認証情報、プライベートリポジトリURL、開発者の身元情報を含む環境変数が、攻撃者のサーバーへと密かに流出します。

攻撃が理論上のものに留まらないことを証明するため、Tenet Securityは制御された環境下で実際の組織を対象にエンドツーエンドの検証を実施しました。研究者らは、露出しており注入可能なDSNを持つ2,388の組織を特定し、そのうち71はTrancoトップ100万サイトにランクインしていました。

制御された検証の各フェーズを通じて、100を超える組織でAIコーディングエージェントが注入されたエラーに基づいて行動しました。対象となったエージェントにはClaude Code、Cursor、Codexが含まれており、攻撃成功率は85%に達しました。

被害が確認された組織は、親会社の時価総額が2,500億ドル超のFortune 500企業、20億ドル超のホスティングインフラプロバイダー、科学技術計算企業、そして6大陸にまたがるアーリーステージのスタートアップにまで及んでいます。

特筆すべきことに、クラウドセキュリティベンダーでさえ露出した組織の中に含まれており、セキュリティ予算やセキュリティ態勢だけでは安全性を保証できないことが改めて浮き彫りになっています。

Agentjackingは、攻撃チェーン上のすべての行動が技術的に認可されたものであるため、EDR、WAF、IAM制御、VPN、Cloudflare、ファイアウォールをすべて完全にバイパスします。

Tenetはこれを「認可されたインテントチェーン(Authorized Intent Chain)」と呼んでいます。現行のセキュリティモデルは不正な行動を検出するために構築されていますが、この攻撃にはそのような行動がまったく存在しないのです。

プロンプト層での防御も同様に無効であることが証明されました。システムプロンプトで信頼できないデータを無視するよう明示的に指示されていた場合でも、エージェントは攻撃者のペイロードを実行しており、この脆弱性はパッチで修正できる設定ミスではなく、現行のモデルがMCPツールの出力を処理する仕組みに内在するものであることが確認されました。

Tenetは2026年6月3日にSentryへ調査結果を開示しました。Sentryは同日、問題を認識したものの、この攻撃クラスはプラットフォームレベルで「技術的に防御不可能」であると説明し、根本的な対処を拒否しました。

このリスクはSentryをはるかに超えた範囲に及んでいます。外部から影響を受けたデータをAIエージェントに返すMCPツールの統合はすべて同じ脆弱性クラスを生み出しており、AIエージェントのエコシステムに新しいツールが加わるたびに攻撃対象領域はさらに拡大し続けます。

翻訳元: https://gbhackers.com/agentjacking-attack-hijacks-ai-coding-agents/

ソース: gbhackers.com
#Agentjacking #AIコーディングエージェント #Claude Code #MCPサーバー #Sentry #サイバー攻撃 #サプライチェーン攻撃 #セキュリティ研究 #プロンプトインジェクション #認証情報窃取

関連記事

セキュリティ負債がテクニカル負債より速く蓄積する理由

Splunk Enterprise、認証不要のRCEチェーンでデータベースが危険にさらされる重大脆弱性

米国家安全保障指令を受け、AnthropicがFable 5とMythos 5へのアクセスを遮断