Ataque contra agentes de IA expõe novo risco na cadeia de software

Um novo ataque chamado Agentjacking mostra como agentes de codificação com IA podem ser manipulados para executar comandos controlados por invasores em máquinas de desenvolvedores, sem depender de phishing, malware tradicional ou invasão direta da infraestrutura da vítima.

A técnica foi descrita por pesquisadores da Tenet e explora a forma como ferramentas de observabilidade, como o Sentry, podem alimentar agentes de IA por meio de integrações baseadas no Model Context Protocol.

O risco surge quando dados externos, tratados como simples registros de erro, passam a ser interpretados como instruções confiáveis.

O ponto de entrada é o DSN público do Sentry, uma credencial de gravação normalmente exposta em aplicações frontend. Com esse identificador, um atacante pode enviar eventos falsos para a API de ingestão da plataforma e controlar campos como mensagens, contexto, rastros de pilha, tags e metadados.

Esses eventos podem conter Markdown especialmente criado para parecer uma orientação legítima de correção. Quando o desenvolvedor pede ao agente para resolver problemas pendentes, a IA consulta o Sentry, recupera o conteúdo injetado e pode tratar o texto malicioso como parte do diagnóstico.

Na prova de conceito, os pesquisadores induziram agentes a executar um comando npx que baixava e rodava um pacote hospedado em um repositório público. O código era executado com os privilégios locais do desenvolvedor, criando risco de exposição de variáveis de ambiente, arquivos de configuração e credenciais de nuvem.

Leia mais na mesma categoria:

CibercriminososNotícias