הרעים משתדרגים: פיתחו מתקפות חדשות המשתלטות על סוכני AI מקודדים

חוקרי אבטחה חשפו באחרונה את מה שהוא לדבריהם "סוג חדש של מתקפה": זו מרמה סוכני בינה מלאכותית העוסקים בקידוד, ומשכנעת אותם להריץ קוד שרירותי על מחשבי מפתחים.

חוקרי טנט (Tenet Security) הישראלית, המתמחה באבטחת סוכני AI אוטונומיים, אמרו שמתקפות Agentjacking מנצלות פגם ארכיטקטוני בכלי ניטור ומעקב אחרי שגיאות של אפליקציית Sentry, הפופולרית בקרב מפתחים.

לפי החוקרים, התוקף יזריק פקודות זדוניות לאירועי שגיאה של Sentry: "אי אפשר להבחין ביניהם לבין הנחיות התיקון של הכלי עצמו". כך, סוכני ה-AI לקידוד קוראים ומבצעים את ההוראות הללו, בדומה למתקפת "הזרקת הנחיה עקיפה" (Indirect Prompt Injection).

85% of AI coding agents execute attacker code via fake Sentry errors. Tenet Security confirmed 2,388 orgs exposed. Disable Sentry MCP now. https://t.co/hi6Gy04edk #AgentJacking #AISecurity #MCPSecurity #DeveloperSecurity #CyberSecurity #InfoSec pic.twitter.com/xJRCWklMOt

— Decryption Digest ® (@DecryptionDigst) June 13, 2026

"הסכנה טמונה באמון הסמוי הזה. כאשר סוכן AI שואל את Sentry על שגיאות לא פתורות, הוא מקבל את התשובה ופועל לפיה – בדיוק כפי שמפתח היה עושה", כתבו החוקרים בבלוג. "אבל בניגוד למפתח", המשיכו, "הסוכן לא יכול לאמת אם אירוע שגיאה נוצר מקריסת אפליקציה אמיתית, או שהתוקף הזריק הנחיה אסורה. האמון של הסוכן בתגובות הכלי יוצר מסלול ישיר מהנתונים המוזרקים לביצוע קוד".

"סוכנים לא יכולים להבדיל בין הכוונה מזויפת לאמיתית"

החוקרים פירטו את מתודולוגיית המתקפה בשלבים: "מתקפה מסוג Agentjacking היא מסוכנת במיוחד כי אין צורך בפישינג, וה-DSN של Sentry ידוע ופומבי בכוונה. סוכנים לא יכולים להבדיל בין הכוונה מזויפת לאמיתית, ואז זו עלולה להיות מוזרקת לאלפי פרויקטים בו-זמנית".

החוקרים בדקו את "הצלחת" המתקפה מול יותר מ-100 מטרות אמיתיות. הם השיגו שיעור הצלחה של 85% בקרב הסוכנים הפופולריים ביותר בשוק, כולל Cursor ,Codex ו-קלוד (Claude). הם גם מצאו יותר מ-2,388 ארגונים שנחשפו למתקפה שכזו.

This Tenet Security report is wild. Because AI agents blindly trust data pulled through Model Context Protocol (MCP) servers, a spoofed Sentry crash report can trick your IDE into running hacker commands. If you trust AI tools blindly, your local machine is wide open. https://t.co/n6T5N9Dmfw

— Secure Zona (@securezona) June 14, 2026

"המתקפה עוקפת את כלי האבטחה הקיימים, כמו EDR ופיירוולים אפליקטיביים, כי אין שום דבר זדוני לזיהוי. הסוכנים הריצו את המטען גם כאשר התבקשו להתעלם מנתונים לא מהימנים".

"בעוד שסוכני AI לקידוד משנים את פיתוח התוכנה, הרי שהיותם מתוכנתים להאמין בתגובות הכלים יוצר משטח התקפה קריטי חדש. הנוחות של עוזר AI שמחובר לפלטפורמה שלך מלווה בסיכון שהעוזר הזה יהפוך לשמש ככלי נשק נגדך", סיכמו חוקרי טנט.

לסיום הם הדגישו: "חשוב להתחיל לבחון: לאילו כלים סוכני ה-AI שלך מתחברים, האם הכלים הללו מחזירים נתונים לא אמינים, ואילו בקרות קיימות כדי למנוע מהנתונים שהוזרקו להפעיל את הרצת הקוד".