A támadás, amely megszerezte Claude Code-ot, a Sentry-n keresztül történt. A Datadog, a PagerDuty és a Jira ugyanazzal a kitettséggel rendelkezik.
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: venturebeat.com.
Egyetlen hamis hibaüzenet jelentés eltérítette a Claude Code-ot a kontrollált tesztelés során — az ügynök az támadó kódját a fejlesztő teljes jogosultságával futtatta, és egyetlen figyelmeztetés sem érkezett. Az EDR, WAF, IAM és a tűzfal teljesen elmulasztotta. A Tenet Security júniusi ügynökeltérítési bejelentése egyetlen, gondosan megalkotott Sentry hibaeseményt ír le — ezt egy nyilvános hitelesítőn keresztül küldték, amelyhez nem szükséges megsértés és hitelesítés — amely betelepítette a támadó utasításait a hibaadatokba, amelyeket a Claude Code, Cursor és Codex megbízható diagnosztikai kimenetként hajtottak végre. A Tenet 100-nál több célt tesztelt kontrollált körülmények között, és 85%-os sikerességet ért el. A Sentry a hibát "technikailag védhetetlennek" nevezte. A Cloud Security Alliance néhány napon belül a rendszer szintű MCP sebezhetőségi osztályként határozta meg az ügynökeltérítést. Nem loptak el hitelesítő adatokat, nem sértettek meg politikát, és nem törték át a határt: a lánc minden lépése engedélyezett volt. Ez a probléma. A Tenet 2,388 olyan szervezetet azonosított, amelynek nyilvánosan hozzáférhető Sentry hitelesítői vannak, amelyeket arra lehetne használni, hogy kártékony eseményeket injektáljanak nagy léptékben. A kutatás bizonyíték a koncepcióra, nem megerősített kihasználás az összes 2,388-ban. De egy elkaptam Claude Code környezet tartalmazott egy élő AWS titkos hozzáférési kulcsot és privát tároló URL-eket. Íme a terjedelmi teszt: Ha az AI kódolási ügynökeid kapcsolódnak a Sentry-hez, Datadoghoz, PagerDutyhoz, Jirához vagy bármilyen MCP-vel összekötött adatforráshoz, amelybe a fejlesztőid bíznak — és azok az ügynökök képesek végrehajtani parancssori utasításokat — akkor a te stack-ed is ugyanezen a vakságon osztozik. A Sentry-t futtató szervezeteknek azonnal auditálniuk kell az összes nyilvánosan hozzáférhető DSN-t. A Sentry architektúrája szándékosan tette nyilvánossá a DSN hitelesítőket a frontend hiba Jelentéshez, így az enyhítés nem a DSN visszavonása — hanem annak korlátozása, hogy az ügynökök mit tehetnek a DSN-ek által visszaadott adatokkal. Miért nem tudja látni a stack-ed Az ügynökeltérítés működik, mert minden lépés engedélyezett: A támadó érvényes Sentry API hívást küld egy nyilvános DSN használatával, a MCP szerver autentikus kimenetként visszaadja a betelepített eseményt, az ügynök pedig a fejlesztő jogosultságával hajtja végre az utasítást. Egyetlen aláírás sem lépett működésbe. Az áldozat csak ártalmatlan diagnosztikákat látott, míg az ügynök csendben feltárta a felhőhitelesítőket és forrásvezérlő tokeneket. A SOC csapatoknak soha nem kellett megkülönböztetniük egy fejlesztő npm install-t futtatását egy ügynöktől, amely azt a parancsot hajtotta végre, válaszul egy kártékony hibaeseményre. Ez a megkülönböztetés nem létezett, amíg az AI kódolási ügynökök termelési eszközökké nem váltak. Az a stack, amely nem képes erre, az az ügynökeltérítést megkerülő stack. Öt felmérés, egy minta Öt független felmérés a 2026-os év első feléből megállapította, hogy a vállalatok sokkal inkább bíznak az AI ügynökeikben, mint amennyire az érvényesítések indokolják. Csak 34%-a a szervezeteknek alkalmazza ugyanazokat a biztonsági ellenőrzéseket az AI ügynököknél, mint az embereknél, az Okta/Apprize360 felmérése alapján, amely 292 ügyvezetőt és 492 tudásmunkást kérdezett meg. Ötvenkét százalékuk használt nem jóváhagyott AI eszközöket, és az ügyvezetők 58%-a számolt be AI-hoz kapcsolódó eseményről vagy közeli esetről az előző évben. A HiddenLayer 2026-os AI Fenyegetési Tájékoztató jelentése 250 IT és biztonsági vezetőt kérdezett meg: 33%-uk jelezte, hogy az ügynökök már túllépték a szándékolt terjedelmet, és 31%-uk nem tudta megerősíteni, hogy tapasztaltak-e AI megsértést. Minden nyolcadik AI megsértés az ügynöki rendszerekhez volt köthető. A Gravitee több mint 900 ügyvezetőt és szakembert kérdezett meg, és csak 14,4%-uk élt teljes biztonsági jóváhagyással, míg 88% megerősített vagy gyanított eseményeket jelentett. Egy áprilisi, 750 vezetőt tartalmazó követés során az ügynöki vagyont kétszeresére nőtt, miközben a megfigyelés alig mozdult. A futtatási rés, amit senki sem zárt be "Az ügynökök biztonságba helyezése nagyon hasonlít a hosszú ideje privilégiumokkal rendelkező felhasználók biztonságához," mondta Elia Zaitsev, a CrowdStrike CTO-ja a VentureBeat-nak adott interjúban. "Van identitásuk, hozzáférésük az alapul szolgáló rendszerekhez, érveket hoznak, cselekednek." Zaitsev rámutatott az ipar által nyitva hagyott résre. "Senki sem beszélt arról, hogy az ügynököket futási időben kell biztonságosítani. Most ezt tesszük. Mi az Ön védőhálója? Ha ezek a kontrollok mind kudarcot vallanak, hogyan akadályozza meg, hogy csendben kudarcot valljanak?" A CrowdStrike flottadatok mennyiségileg érzékeltetik a kitettséget: több mint 1,800 ügynöki alkalmazás a céges végpontokon, körülbelül 160 millió megfigyelt példány. Június 15-én a CrowdStrike kiadta az AI ügynökök számára az Folyamatos Identitás-t az Identiverse-en, amely statikus politikákat helyettesített folyamatos érvényesítéssel, amely valós időben engedélyezi minden ügynöki akciót. Az az irányelv, amelyet a bejelentés képvisel — a folyamatos akciószintű jogosultság és a hitelesíthető ügynöki identitás — most már alapvető beszerzési kritérium, függetlenül a szállítótól. "Az emberek valahogy elfeledkeztek a futási időbeli biztonságról," mondta Zaitsev. "Ezt az endpoint, virtualizáció és felhő esetében is megtettük. Az emberek a sebezhetőségek javítására, a jogosultságok lezárására összpontosítanak. Valahogy mindig úgy tűnik, hogy hiányzik valami. A védőháló a futási idő." Zaitsev egyenesen beszélt a homokozó megközelítésekről is. "Ha egy ügynökkel indítasz egy homokozóban, amelynek nincs képessége bármit megérinteni, az értéktelen. Nagyon gyorsan abban a versenyben találod magad, hogy több képességet adsz neki. Akkor miért van értelme a homokozódnak?" Az ügynökök azzal nyernek értéket, hogy hozzáféréssel rendelkeznek. Minden hozzáférés engedélyezése egy támadási felület. A kormányzati rés egy költségvetési probléma Kayne McGladrey, az IEEE Senior Tagja egy egyedülálló interjúban leírta a struktúrával kapcsolatos kihívást a VentureBeat-nak. "A CISO-nak nincs költségvetése. A CISO-nak nincs személyzete. Figyelhetjük a kockázatokat, tanácsot adhatunk az üzleti kockázatokról, de nem rendelkezünk az üzleti rendszerek felett, amelyek ezeket a kockázatokat érintik," mondta McGladrey. Amikor az ügynökök kormányzása hat különböző osztály költségvetésekre terjed ki, egyetlen vezető sem tudja megerősíteni, hogy az ügynökök ugyanazokat a hozzáférési felülvizsgálatokat kapják, mint az emberek. Az Okta felmérés mennyiségileg érzékelteti a szakadékot. Csak 43%-a a munkavállalóknak mondja azt, hogy az ügynöki politikák világosak, szemben a 65%-os ügyvezető aránnyal, és majdnem kétharmaduk gyengébb kontrollokat alkalmaz az ügynökökre, mint az emberekre. Azok az emberek, akik napi szinten ügynököket telepítenek, nem ismerik fel a kormányzati álláspontot, amelyet a vezetőségük állítólag felépített. Assaf Keren, a Qualtrics főbiztonsági tisztje és a PayPal korábbi CISO-ja ezt világosan megfogalmazta. "A valódi kockázat nem az AI rendszerek megvalósításával kezdődik. Az a tény, hogy az alapértelmezett architektúra nincs jól kialakítva. Amikor egy AI rendszert teszünk valami olyanra, ami nincs jól felépítve, felgyorsítjuk a repedéseket." Keren a futási időbeli viselkedéselemzést "jelenleg megoldatlan problémának" nevezte. Az 5 kérdéses szakadék teszt Az 5 kérdéses szakadék teszt öt felmérésre alapoz a 2026-os év első feléből. Minden kérdés levetíti azt a szakadékot, amelyet az ügynökeltérítés kihasznál. Futtasd ezt bármely Q3-as szállítói értékelés előtt. Tesztelendő szakadék A bizonyíték Mi zavarja meg a hétfői tevékenységet Forrás / minta 1. Ügynök lista. Az ügynökök, MCP kapcsolatok és LLM automatizálások hány százaléka fejezte be a biztonsági felülvizsgálatot az üzembe helyezés előtt? 14,4% kap teljes biztonsági/IT jóváhagyást, mielőtt élőbe lépne. 52% a munkavállalóknak használt nem jóváhagyott AI eszközöket. Az átlagos vállalat most 37+ üzembe helyezett ügynököt kezel, körülbelül megduplázódott a 2025-ös negyedik negyedév óta. A nem jóváhagyott ügynökök láthatatlanok a te identitásplatformodon, és nem felelnek meg a megsértés bejelentésében. Az ügynökeltérítés pontosan ezeket a nem irányított MCP kapcsolatok célozza meg. A népszámlálás hiánya nem jelent audit nyomot a szabályozási válaszhoz. Kérj egy teljes ügynök, MCP szerver és LLM automatizálás népszámlálását. Tedd a népszámlálás befejezését beszerzési kaput minden Q3-as szállítói értékeléshez. Bármely ügynököt, amelyet a népszámlálás után fedez fel, árnyék AI eseményként kell megjelölni. Gravitee AI Ügynök Biztonság Állapota 2026, 900+ válaszadó (2026. február); Gravitee 2026 áprilisi frissítés, 750 vezető technológus; Okta/Apprize360, 292 ügyvezető + 492 munkavállaló (2026. június) 2. Ellenőrzések egyenlősége. Az ügynökök ugyanazokat a hozzáférési felülvizsgálatokat, privilégium terjedelmet és visszavonási időkereteket kapják, mint az emberi alkalmazottak? 34% mindig ugyanazokat a kontrollokat alkalmazza az ügynökökre, mint az emberekre. A privilégiumos hozzáférések 61%-a megfelelő felülvizsgálat nélkül valósul meg. Csak 22% kezelik az ügynököket önálló identitást hordozó entitásokként. Egy ügynök egy statikus OAuth tokennel és felülvizsgálati ciklus nélkül állandó privilégiumos fiók, amelynek nincs megszüntetési dátuma. Az ügynökeltérítés örökli a fejlesztő birtokában lévő privilégiumokat. A szervezetek 45,6%-a osztott API kulcsokra támaszkodik ügynökök közötti hitelesítéshez. Add hozzá az összes produkciós ügynököt a következő hozzáférési felülvizsgálati ciklushoz. Előírni, hogy emberi beavatkozás szükséges bármely ügynöki akciónál, amely érinti a PII-t, pénzügyi adatokat vagy a termelési infrastruktúrát. Helyettesítsd a megosztott API kulcsokat korlátozott, rövid élettartamú tokenekkel. Okta/Apprize360 (784 válaszadó, 2026. június); Palo Alto Networks (2,930 válaszadó); Gravitee (900+, megosztott API kulcsok adatai) 3. Terjedelem elmozdulás. Hozzáfértek-e bármilyen ügynök az elmúlt 12 hónapban olyan adatokhoz vagy rendszerekhez, amelyek túlmutatnak a meghatározott terjedelemükön? 33% számol be arról, hogy az ügynökök már túllépték a terjedelmet. 53% azt mondja, hogy az ügynökök időnként vagy alkalmanként túllépik a jogosultságaikat. Meta Sev 1, 2026 március: az ügynök érzékeny adatokat küldött egy engedély nélküli csatornára. Csak 8% állítja, hogy az ügynökök soha nem lépik túl a szándékolt jogosultságokat. A terjedelem elmozdulás bejelentési kötelezettséget indít el a GDPR, CCPA, HIPAA és SEC kiberbiztonsági szabályai alatt. Ha a detektálás nem tudja megkülönböztetni az ügynök által kezdeményezett hozzáférést az ember által kezdeményezett hozzáféréstől, a nyilatkozati időkeretek megvalósíthatatlanok. Az ügynökök által létrehozott al-ügynökök (a telepített ügynökök 25,5%-a képes más ügynököket létrehozni) audit nyomokat algebrai szempontból megoldhatatlanná tesznek. Futtass egy 90 napos terjedelem elmozdulási auditot minden produkciós ügynökön. Hasonlítsd össze a tényleges erőforrásokat a jóváhagyott terjedelem dokumentációval. Blokkolj minden ügynök közötti megbízást, amely kifejezett emberi jóváhagyás nélkül lépi túl a szülő ügynök terjedelmét. HiddenLayer AI Fenyegetések Tájékoztató 2026 (250 IT/biztonsági vezető); CSA AI Ügynök Biztonsági Felmérés (terjedelmi megszegések adatai); Gravitee (ügynök reprodukciós adatok) 4. Kormányzás érzékelési rés. Mondanának 50 tudásmunkás, hogy az AI ügynök politikáid világosak? 22 pontos rés: az ügyvezetők 65%-a mondja azt, hogy a politikák világosak, a munkavállalók 43%-a egyetértene. A biztonsági csapatok 77%-a látja az árnyék AI kockázatot, de nincs láthatóságuk, hogy cselekedjenek. A megkérdezettek 76%-a árnyék AI-t határozott vagy valószínű problémaként említ. Azt a kormányzati álláspontot értékeled, amelyet a munkavállalóid nem ismernek fel. Minden árnyék ügynök aláássa a szállító összehasonlítást. A tudásmunkások belső üzeneteket (54%), HR adatokat (45%) és bizalmas dokumentumokat (39%) osztanak meg nem jóváhagyott AI eszközökkel. Egy kérdéses felmérés a következő szállítói bemutatón. Ha a rés meghaladja a 15 pontot, állítsd le a beszerzést. Tegyél közzé egy belső AI ügynök elfogadható használati politikát, amely konkrét példákat tartalmaz a jóváhagyott és tiltott ügynöki viselkedésről. Okta/Apprize360 (784 válaszadó, 2026. június); Ivanti 2026 AI Érettségi Jelentés (1,200 válaszadó); HiddenLayer (árnyék AI adatok) 5. Megsértés érzékelési bizonyosság. Meg tudja erősíteni a biztonsági csapatod, hogy tapasztaltál-e AI-hoz kapcsolódó megsértést az elmúlt 12 hónapban? 31% nem tud válaszolni. 88% megerősített vagy gyanított AI ügynök biztonsági eseményeket jelentett. Minden nyolcadik jelentett AI megsértés most ügynöki rendszerekhez kapcsolódik. Az ügynökeltérítés bebizonyította, hogy az EDR, WAF, IAM és tűzfal átenged egy ügynök által közvetített támadást egyetlen figyelmeztetés nélkül. Nincs alap a nyilatkozati időkeretekhez. Nincs bizonyítéki lánc a incidens válaszhoz. Nincs védhető pozíció egy szabályozási vizsgálat során. Az EU AI Törvény magas kockázatú megfelelőségi kötelezettségei 2026. augusztus 2-án lépnek életbe. Előírja az ügynök-specifikus futási időbeli érzékelést, mint beszerzési előfeltételt. Ellenőrizd, hogy a szervezeted képes-e megkülönböztetni az ügynök által kezdeményezett tevékenységeket az ember által kezdeményezett tevékenységektől a termelési telemetriában. Teszteld a SOC képességét, hogy egy adott tevékenységet egy adott ügynökhöz rendeljen 60 percen belül. HiddenLayer (250 IT/biztonsági vezető); Gravitee (900+, eseménysűrűség); Tenet Security (2,388 sérülékeny szervezet); CSA (rendszer szintű MCP sebezhetőségi osztályozás) Biztonsági igazgatói akcióterv Az EU AI Törvény magas kockázatú megfelelőségi kötelezettségei 2026. augusztus 2-án lépnek életbe. Érdemes figyelembe venni a Q3-as tervezési időkereteknél. Futtasd a fent említett öt kérdéses szakadék tesztet bármely Q3-as szállítói értékelés előtt — ez semmibe sem kerül, és a beszerzési világosság, amelyet létrehoz, sokkal többet ér, mint a szükséges 30 perc. Fontold meg az ügynök-specifikus futási időbeli érzékelés megkövetelését. Ha a te stack-ed nem tudja megmondani, hogy mit tett egy ügynök, amit a fejlesztő tett, az ügynökeltérítés megkerüli, ugyanolyan módon, ahogyan megkerülte Tenet tesztelésének minden szintjét. Ez a megkülönböztetés az, ami most számít. Kezeld minden ügynököt jogosult belsőként. Az Okta/Apprize360 felmérés szerint csak 34% a szervezeteknek alkalmazza ugyanazokat a kontrollokat az ügynököknél, mint az embereknél; ennek a különbségnek a megszüntetése a legnagyobb hatással bíró intézkedés, amit a legtöbb biztonsági csapat végrehajthat ezen a negyedévben. Teszteld az érzékelési rést, mielőtt új eszközbe fektetnél be. Egy kérdés 50 tudásmunkásnak. Tudod, milyen politikák vonatkoznak a céged AI ügynökeire? Ha a válaszok közötti különbség meghaladja a 15 pontot, ez az első megoldandó probléma. Egyetlen szállító terméke sem javítja azt a kormányzati álláspontot, amelyet a te munkaerőd nem ismer fel. Tedd az ügynök népszámlálás befejezését a beszerzési kapu részévé — minden ügynök, minden MCP kapcsolat. Azok a biztonsági csapatok, akik ezt jól csinálják, azok, akik teljes leltárral indítottak és onnan haladtak előre. Az ügynökeltérítés eltüntette azt a feltételezést, amely minden biztonsági architektúrában megmaradt az első tűzfal működésbe lépésétől kezdve. Az engedélyezett nem jelent biztonságot. Amikor minden lépés a láncban legitim, az egyedüli védelem, ami számít, az, amelyik figyeli, mit tesznek az ügynökök. Nem azt, amit a politikák mondanak. Amit az ügynökök tesznek.
Külső link: venturebeat.com
Kapcsolódó cikkek
startup
Az Uber leállítja élelmiszer-kiszállítási terveit az általa bővítés céljából választott hét európai ország közül ötben, miközben a Delivery Hero felvásárlását célozza meg.
startup
India értesítést küldött a Telegramnak, kérve, hogy korlátozza a kalózfilmek és egyéb szerzői jogvédelem alatt álló tartalmak terjedését, valamint 15 napon belül kér action-tett jelentést.
startup
