كشف باحثون في الأمن السيبراني عن فئة جديدة من الهجمات أطلقوا عليها اسم Agentjacking، تستهدف وكلاء البرمجة المدعومين بالذكاء الاصطناعي مثل Claude Code وCursor. يقوم المهاجمون بحقن تقارير أخطاء مزيفة عبر منصة Sentry، وهي أداة مفتوحة المصدر لتتبع الأخطاء ومراقبة الأداء. المشكلة تكمن في أن خادم Sentry MCP يعيد هذه البيانات إلى الوكلاء باعتبارها مخرجات موثوقة، ما يفتح الباب أمام تنفيذ تعليمات عشوائية على أجهزة المطورين.
سلسلة الهجوم: من DSN إلى تنفيذ التعليمات
الهجوم يبدأ بالحصول على Sentry DSN، وهو معرف عام يُستخدم لإرسال تقارير الأخطاء. بعد ذلك:
- يرسل المهاجم حدثًا خبيثًا إلى نقطة الإدخال في Sentry باستخدام DSN.
- يحتوي الحدث على تعليمات مصاغة بعناية داخل حقول الرسائل والسياق باستخدام Markdown.
- عندما يستدعي المطور وكيله الذكي لإصلاح مشاكل Sentry، يقوم الوكيل بجلب هذا الحدث عبر MCP.
- الوكيل يفسر التعليمات على أنها خطوات إصلاح شرعية وينفذها بامتيازات المطور الكاملة.
بهذا الشكل، لا يحتاج المهاجم إلى اختراق البنية التحتية أو استخدام التصيّد، بل يستغل الثقة الضمنية بين الوكيل ومنصة Sentry.
خطورة الهجوم ونتائجه
الهجوم قادر على كشف بيانات حساسة مثل متغيرات البيئة، بيانات اعتماد Git، عناوين المستودعات الخاصة، وحتى هوية المطور. الأخطر أن كل خطوة في السلسلة مصرح بها، ما يجعل الهجوم يتجاوز أنظمة الحماية التقليدية مثل EDR، WAF، أنظمة IAM، VPN، وحتى جدران الحماية.
بحسب شركة Tenet Security، تم العثور على أكثر من 2,388 مؤسسة معرضة بفضل DSNs قابلة للحقن، ونجح الباحثون في استغلال الهجوم ضد أكثر من 100 مؤسسة بنسبة نجاح وصلت إلى 85%.
موقف Sentry وردود الفعل
منصة Sentry اعترفت بالمشكلة لكنها وصفتها بأنها “غير قابلة للدفاع تقنيًا”، واكتفت بتفعيل مرشح عالمي يحجب سلسلة محددة من الحمولة الخبيثة. هذا الرد أثار جدلًا، إذ يرى الباحثون أن المشكلة معمارية وليست مجرد ثغرة سطحية يمكن حجبها.
دلالات على مستقبل وكلاء البرمجة بالذكاء الاصطناعي
هذا الهجوم يسلط الضوء على أن وكلاء البرمجة أنفسهم أصبحوا سطح هجوم جديدًا، حيث يتم استغلال البيانات التي تنشرها المؤسسات علنًا ضد مطوريها. ومع تسارع المؤسسات في تبني وكلاء البرمجة، فإن الحاجة إلى إعادة التفكير في آليات الثقة والربط مع الخدمات الخارجية باتت ملحة.
