Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Agentjacking: когда обычный лог об ошибке превращает ИИ-помощника в исполнителя чужих приказов

leer en español

4751
Agentjacking Sentry ИИ-агенты Cursor Claude Code Codex инъекция
Agentjacking: когда обычный лог об ошибке превращает ИИ-помощника в исполнителя чужих приказов
Agentjacking Sentry ИИ-агенты Cursor Claude Code Codex инъекция

Разработчики всё чаще доверяют рутину автоматике, но новая схема показывает — так делать не стоит.

image

В последнее время ИИ-помощники стали привычным инструментом для разбора ошибок, но даже обычный отчёт о сбое может превратиться в команду для запуска чужого кода на рабочей машине. Специалисты Tenet Threat Labs показали технику Agentjacking, при которой поддельные отчёты Sentry заставляют ИИ-агентов выполнять инструкции атакующего.

В продемонстрированном сценарии злоумышленнику не нужны пароли или доступ во внутреннюю сеть компании. Достаточно найти в открытом коде сайта идентификатор проекта Sentry (DSN), который часто виден, потому что приложения используют его для отправки отчётов об ошибках. После этого атакующий может отправить в Sentry поддельный отчёт.

Механизм атаки строится на инъекции инструкций. Вредоносный текст маскируется внутри содержимого отчёта с помощью Markdown. Когда разработчик просит ИИ-агента разобраться с проблемой через MCP-сервер Sentry, агент читает поддельный отчёт как рабочий контекст и может принять вложенные указания за доверенную задачу.

В демонстрации Tenet фальшивый раздел с решением указывал агенту выполнить команду npx @tenet-controlled-validation-package --diagnose. Команда загружала и запускала подконтрольный Tenet пакет npm из публичного реестра. По оценке специалистов, тот же путь можно использовать для удалённого выполнения кода, если вместо тестового пакета подставить вредоносный.

Tenet проверила технику в средах с Claude Code, Cursor и OpenAI Codex на Windows, macOS и в автоматизированных облачных цепочках. За период проверки, завершившийся 17 июня 2026 года, специалисты нашли 2388 организаций с открытыми идентификаторами DSN Sentry. В более чем 100 глобальных компаниях ИИ-помощники запустили контролируемый код Tenet.

Реальный риск связан не только с запуском команды. Вредоносный пакет мог бы действовать с правами локальной учётной записи разработчика и попытаться получить секреты вроде ключей AWS, токенов GitHub или SSH-ключей. Обычные средства защиты могут пропустить такую цепочку, потому что действия выглядят как работа доверенных инструментов и авторизованного пользователя.

Tenet сообщила о проблеме Sentry 3 июня 2026 года. По данным компании, Sentry добавила фильтр, который блокирует конкретный текст из демонстрации, но сама природа проблемы мешает сделать универсальное исправление: ИИ-агенты не всегда отделяют недоверенные данные от инструкций. Для снижения риска Tenet выпустила бесплатный инструмент Agent-JackStop, предназначенный для усиления защиты Cursor и Claude Code от инъекций инструкций из внешних источников.