網絡安全公司 Tenet Security 旗下 Threat Labs 公開一種名為 Agentjacking 的全新攻擊手法,攻擊者只需透過一份偽造的錯誤報告,就能誘使 Claude Code 、 Cursor 與 Codex 等 AI 程式代理,在開發者的電腦上執行任意惡意程式碼,整條攻擊鏈不需釣魚、不需入侵伺服器、不需竊取任何密碼,全程繞過 EDR 、 WAF 、 IAM 、 VPN 、 Cloudflare 與防火牆。
研究團隊在受控測試中針對超過 100 間機構驗證攻擊,成功率達 85% 並發現至少 2,388 間機構暴露於可注入的風險之中,受影響對象橫跨市值逾 2,000 億美元(約港幣 15,600 億元)的 Fortune 500 巨企,以至獨立開發者。 Tenet 於 6 月 3 日通報 Sentry ,後者當日回應並承認問題但拒絕從根本修補,形容此類攻擊「技術上無法防禦」。
從一份假錯誤報告開始的攻擊鏈
要理解 Agentjacking 的運作先要認識 Sentry 這個開發者廣泛採用的錯誤追蹤與效能監控平台, Sentry 透過 Model Context Protocol(MCP) 把自身 API 直接接入 AI 程式代理,讓代理可以即時讀取生產環境的錯誤資料、協助除錯與修復。問題出在兩個設計交會之處: Sentry 的事件接收端會接受任何持有 DSN 的人所傳送的資料,而 Sentry MCP 伺服器再把這些資料當作可信的系統輸出,原封不動交給 AI 代理。
DSN(Data Source Name) 是一組公開且僅供寫入的憑證, Sentry 刻意把它設計成可安全嵌入前端 JavaScript ,意味著任何人檢視網站原始碼、透過 Censys 搜尋或 GitHub 程式碼搜尋,都能輕易找到目標的 DSN ,攻擊者取得 DSN 後向 Sentry 的接收端發出一個 POST 請求,注入一個經過精心設計的錯誤事件。這個事件的訊息欄位與情境鍵名嵌入了排版工整的 Markdown ,當 MCP 伺服器把事件回傳給 AI 程式代理時, these 內容會渲染成標題、程式碼區塊與表格,在視覺與結構上與 Sentry 自身的系統範本完全一致,當中更包含一個偽造的「## Resolution」修復段落,引導代理執行一條 npx 指令。
當開發者向 AI 程式代理下達「修復未解決的 Sentry 問題」這類日常指令時,代理便會透過 MCP 查詢並接收這個注入事件,代理無法分辨眼前的資料究竟來自真實的程式崩潰,還是攻擊者刻意植入的內容,於是把攻擊者的指令當作可信的修復指引,以開發者本人的完整權限在其電腦上執行。研究員 Ron Bobrov 、 Barak Sternberg 與 Nevo Poran 指出,攻擊者全程從未接觸受害者的基礎設施,惡意指令偽裝成一份普通錯誤裡的合法「Resolution」,悄然送達。
對企業而言的真實威脅與應對之道
Agentjacking 之所以危險,因為它的攻擊目標並非開發者本人,而是開發者所信任的 AI 程式代理,成功的攻擊可在開發者毫無察覺下,竊取環境變數中的 AWS 金鑰、 GitHub 與 Sentry 權杖、 git 憑證、私有程式碼倉庫網址,以及開發者身份等敏感資料。在企業環境中,單一個注入的錯誤事件足以令攻擊者竊取 CI/CD 流水線憑證、存取私有原始碼倉庫、入侵雲端基礎設施,並建立長期潛伏的存取權限。
Tenet 的受控驗證證實威脅並非紙上談兵,研究團隊透過被動偵查發現 2,388 間暴露機構,其中 71 間躋身 Tranco 全球前 100 萬名網站。在多輪受控測試中,超過 100 個 AI 程式代理對注入的錯誤作出反應,受確認執行的機構包括一間母公司市值逾 2,500 億美元(約港幣 19,500 億元)的科技巨企、一間市值逾 20 億美元(約港幣 156 億元)的主機代管供應商,以及科學運算公司、初創團隊等,連一間雲端網絡安全廠商亦榜上有名,反映機構規模、所屬行業或網絡安全預算都不足以保證安全。
企業要應對這類威脅,傳統防線幾乎完全失效, Tenet 把這種攻擊稱為「Authorized Intent Chain」(已授權意圖鏈):現行網絡安全模型專門攔截未經授權的行為,而 Agentjacking 鏈上的每一個動作都是經過授權的,因此沒有任何惡意特徵可供偵測。研究團隊強調,即使透過詳盡的系統提示與技能明確指示代理忽略不可信資料,代理仍然照樣執行惡意程式,提示層的防禦同樣失守。網絡安全總監與技術總監現階段應重新審視 AI 程式代理連接了哪些工具、這些工具會否回傳不可信的外部資料,並評估有何控制機制可阻止注入的資料觸發程式碼執行。
代理式 AI 成網絡安全新缺口
這項發現代表軟件開發攻擊面的根本轉變,過去多年的供應鏈攻擊聚焦於入侵真實套件,例如 SolarWinds 與 CodeCov ,或以仿冒套件名稱誘騙開發者;如今攻擊者毋須入侵套件或欺騙人類,只需注入 AI 程式代理信任的資料。可觀測性平台搖身一變成為命令與控制通道, AI 程式代理則淪為執行引擎。
此攻擊風險並不止於 Sentry ,任何會把受外部影響資料回傳給 AI 程式代理的 MCP 工具整合,都存在同一類漏洞。隨著 AI 程式代理生態擴張、越來越多工具透過 MCP 連接,攻擊面只會呈幾何級數擴大。 Sentry 雖然在研究期間啟動了一個全球內容過濾器,封鎖特定的惡意字串,但這只是偵測表面活動而非處理根本成因; Sentry 同時表明問題「技術上無法防禦」。
Tenet 認為,若平台擁有者都判定此類攻擊在源頭無法防禦,唯一能攔截它的位置就只剩下代理的執行階段,亦即代理決定採取行動的那一刻。企業在競相部署 AI 程式代理之際,必須認清代理本身已成為新的攻擊面,間接提示注入透過開發者工具發動的時代正式來臨。
