Investigadores exponen la falla 'Agentjacking' que permite a los atacantes secuestrar asistentes de codificación de IA a través de informes falsos de Sentry

El 3 de junio, Tenet Security dio a conocer una vulnerabilidad que llama "Agentjacking", un método que secuestra asistentes de codificación de IA alimentándolos con un informe de error falsificado. El ataque aprovecha Sentry, una plataforma de seguimiento de errores ampliamente utilizada que publica un DSN (Nombre de fuente de datos) público en el código de la aplicación para que los datos de errores se puedan enviar sin autenticación. Un atacante simplemente publica un error falsificado en el punto final de Sentry, incrustando un comando malicioso en el campo "Resolución" del informe. Debido a que la carga útil imita el formato de asesoramiento de Sentry, el agente de codificación confía en ella implícitamente.

Cuando un desarrollador solicita posteriormente al asistente que resuelva el problema informado, el agente recupera el informe falso a través del Protocolo de contexto del modelo, un estándar que permite a las herramientas de IA extraer datos externos. Confundiendo el informe falsificado con un error legítimo, el asistente ejecuta el comando del atacante utilizando los privilegios del desarrollador en la máquina local. El resultado es una cadena de ejecución de código completamente autorizada, un escenario que Tenet describe como la "Cadena de intención autorizada".

La mecánica de Agentjacking

Las pruebas controladas de Tenet se centraron en tres agentes de codificación de IA líderes: Claude Code, Cursor y Codex. En 2.388 organizaciones, incluyendo una empresa de 250 mil millones de dólares, un proveedor de seguridad en la nube y numerosos desarrolladores independientes, el ataque tuvo éxito aproximadamente el 85% de las veces. Una vez que se ejecuta el comando malicioso, puede cosechar variables de entorno, claves de acceso de AWS, tokens de GitHub, credenciales de git y URLs de repositorios privados. Esas credenciales abren un camino directo a las tuberías de integración continua y la infraestructura en la nube más amplia, evitando las defensas tradicionales como la detección y respuesta de puntos finales (EDR), cortafuegos, políticas de administración de identidad y acceso (IAM) y VPN.

La falla no se limita a Sentry. Tenet señala que cualquier asistente de IA que ingiera datos externos sin filtrar, ya sea de tickets de soporte, problemas de GitHub o documentación, enfrenta el mismo riesgo. Una prueba reciente y separada demostró que un asistente de correo electrónico de IA filtraba claves de AWS después de ser estafado con un mensaje fabricado, subrayando la naturaleza sistémica del problema.

Cuando Tenet informó el problema a Sentry, la empresa reconoció la vulnerabilidad pero se negó a abordar la causa raíz, etiquetándola como "técnicamente no defensible". Sentry desplegó un filtro que bloquea una cadena de carga específica, una solución sintomática que no evita variantes futuras del ataque. Tenet argumenta que el problema real radica en cómo los agentes de IA tratan los datos entrantes como confiables, una elección de diseño que los hace atractivos como puntos de entrada a medida que las empresas aceleran la implementación de dichas herramientas.

El mercado de asistentes de codificación de IA está expandiéndose rápidamente; una startup reciente en el espacio informó 500 millones de dólares en ingresos anuales. A medida que las organizaciones integran estos agentes más profundamente en las tuberías de desarrollo, la superficie de ataque crece. La investigación de Tenet sugiere que el único punto de mitigación confiable es el momento en que el agente decide actuar sobre la entrada externa. Sin una validación o aislamiento robusto, los desarrolladores pueden conceder a los atacantes involuntariamente el mismo nivel de acceso que tienen ellos mismos.

Los expertos en seguridad recomiendan que los equipos auditen los puntos de integración de los asistentes de IA, apliquen una saneamiento de entrada estricto y consideren aislar los entornos de ejecución de los agentes de las credenciales de producción. Hasta que Sentry o servicios similares rediseñen sus modelos de confianza, el riesgo de Agentjacking sigue siendo una preocupación apremiante para cualquier persona que confíe en la IA para automatizar la corrección de código.

Questo articolo è stato scritto con l'assistenza dell'IA.
News Factory APP - notizie agentiche per potenziare il tuo SEO e AEO.