niedziela, 5 lipca 2026

Nowości

Fałszywe zgłoszenie błędu przejęło kontrolę nad agentami kodującymi AI

ProgramowaniePatryk Raba3 lipca 20262

Badacze z Tenet Security opisali atak Agentjacking, w którym jedno spreparowane zgłoszenie błędu w Sentry przejmuje kontrolę nad Claude Code, Cursorem i Codexem. Skuteczność sięga 85 procent, a podatnych organizacji znaleziono ponad 2300.

Spis treści
  1. Jak działa Agentjacking
  2. Skala i omijanie zabezpieczeń
  3. Zaufanie jako słaby punkt
  4. Jak się bronić

Nie trzeba włamania, złośliwego oprogramowania ani wykradzionego hasła. Wystarczy jedno fałszywe zgłoszenie błędu wysłane do popularnego narzędzia do monitoringu aplikacji Sentry, żeby przejąć kontrolę nad agentem kodującym opartym na sztucznej inteligencji. Badacze z firmy Tenet Security opisali technikę, którą nazwali Agentjacking, i pokazali, że działa ona na trzech najpopularniejszych asystentach programistycznych na rynku naraz.

Jak działa Agentjacking

Atak wykorzystuje architekturę Sentry i sposób, w jaki agenci AI traktują dane z narzędzi zewnętrznych. Każda aplikacja korzystająca z Sentry ma publiczny identyfikator DSN, który celowo jest osadzony w kodzie frontendowym strony, bo tak działa mechanizm zgłaszania błędów przez przeglądarkę. Atakującemu wystarczy, że obejrzy publiczny kod źródłowy witryny, znajdzie ten identyfikator i wyśle pod niego spreparowany raport o błędzie z ukrytą instrukcją zaszytą w formatowaniu Markdown.

Kiedy programista poprosi agenta AI o zbadanie takiego zgłoszenia poprzez serwer MCP podłączony do Sentry, agent odczytuje treść raportu jako kontekst do pracy. Nie odróżnia jednak wskazówki naprawczej od ukrytej komendy atakującego, więc traktuje wstrzykniętą instrukcję jak polecenie do wykonania. W praktyce oznacza to uruchamianie komend na komputerze programisty, dostęp do repozytoriów kodu czy przejęcie danych uwierzytelniających do infrastruktury chmurowej.

Skala i omijanie zabezpieczeń

Skala testów robi wrażenie. Tenet Security przejął w ten sposób Claude Code, Cursora i Codexa ze skutecznością 85 procent w kontrolowanych warunkach. W realnym internecie zespół znalazł 2388 organizacji z podatnym, publicznie dostępnym DSN-em, od firmy wycenianej na 250 miliardów dolarów po pojedynczych niezależnych deweloperów, na sześciu kontynentach.

Najbardziej niepokojące jest to, że atak omija klasyczne zabezpieczenia. Systemy EDR, zapory aplikacyjne, kontrola tożsamości i VPN nie reagują, bo agent wykonuje wyłącznie operacje autoryzowane własnymi danymi uwierzytelniającymi programisty. Żadna polityka bezpieczeństwa nie zostaje złamana, żaden próg anomalii nie zostaje przekroczony, bo z perspektywy systemu to zwykły deweloper każe agentowi coś zrobić.

Zaufanie jako słaby punkt

Sedno problemu leży głębiej niż sam Sentry. Agenci kodujący nie potrafią odróżnić treści, którą mają tylko przeczytać, od instrukcji, którą mają wykonać. To ten sam mechanizm co w klasycznym pośrednim wstrzyknięciu polecenia, ale tym razem konsekwencją nie jest dziwna odpowiedź czatbota, tylko realne wykonanie kodu na maszynie programisty. Podobny problem opisywano niedawno przy okazji luki w Amazon Q, gdzie spreparowane repozytorium Git potrafiło zmusić agenta do wykonania złośliwego kodu.

Dla polskich firm to sygnał ostrzegawczy, bo Sentry i agenci kodujący tacy jak Claude Code czy Cursor są dziś standardowym wyposażeniem wielu zespołów programistycznych, także tych mniejszych. Ekspozycja nie wymaga żadnego szczególnego dostępu, wystarczy publicznie widoczny kod strony, więc praktycznie każda firma korzystająca z Sentry powinna sprawdzić, czy jej DSN nie jest możliwy do wykorzystania w ten sposób.

Jak się bronić

Zalecenia bezpieczeństwa, jakie płyną z raportu, są konkretne. Traktować dane z monitoringu błędów jako niezaufane wejście, a nie gotowy kontekst do działania. Ograniczać uprawnienia serwerów MCP podłączonych do agentów, tak by nie mogły wykonywać poleceń systemowych bez potwierdzenia człowieka. Rozważyć uruchamianie agentów kodujących w piaskownicy odseparowanej od produkcyjnych danych uwierzytelniających.

W miarę jak agenci kodujący zyskują coraz więcej autonomii, a rynek ten rośnie w tempie, w którym Claude Code i Cursor dzielą już podobny udział rynkowy na poziomie około 18 procent każdy, front bezpieczeństwa przesuwa się z klasycznych podatności sieciowych w stronę zaufania, jakim agent obdarza dane, które przetwarza. Agentjacking pokazuje, że to zaufanie można nadużyć bez żadnego włamania w tradycyjnym sensie.

Źródła: Fake Bug Report Hijacks AI Coding Agents at Scale (darkreading.com), One Fake Bug Report Hijacked a 250B Dollar Company's AI Agent (tenetsecurity.ai), Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code (thehackernews.com)

Udostępnij: