Обнаружена новая уязвимость класса prompt injection, получившая название "agentjacking". Она позволяет злоумышленникам отправлять поддельные логи ошибок, которые при анализе ИИ-ассистентами разработчика выполняют скрытый вредоносный код.
Использование ИИ-ассистентов для написания и отладки кода (таких как Claude Code, Cursor или GitHub Copilot) стало повседневным стандартом в современной разработке ПО. Однако интеграция этих инструментов с внешними сервисами несет новые векторы угроз, что подтвердило исследование уязвимости agentjacking.
Суть атаки agentjacking
Уязвимость использует механизм взаимодействия ИИ-агентов с мониторингом ошибок (например, Sentry). Когда приложение сталкивается со сбоем, оно отправляет лог в систему мониторинга. Злоумышленник может искусственно спровоцировать ошибку и внедрить в тело лога или трассировку стека специальную инструкцию (prompt injection). ИИ-ассистент, анализирующий сбой по запросу разработчика, автоматически выполняет эту инструкцию, полагая, что это часть отладочной информации.
Последствия для безопасности разработчиков
Успешная эксплуатация agentjacking позволяет хакерам перехватывать контроль над сессией ИИ-кодера. ИИ может незаметно модифицировать исходный код проекта, добавлять бэкдоры, отправлять конфиденциальные API-ключи разработчика на сторонний сервер или выполнять несанкционированные команды в терминале рабочей станции программиста.
Источники
- VentureBeat, 2026-06-29