商傳媒|責任編輯/綜合外電報導資安公司 Tenet Security 近日揭露一種名為「代理劫持」(agentjacking)的攻擊手法,成功挾持了 Anthropic 開發的人工智慧(AI)程式開發工具 Claude Code。這類攻擊利用錯誤報告系統的漏洞,能在不觸發任何警報的情況下,讓 AI 工具執行攻擊者的程式碼,且擁有開發人員的完整權限。
Tenet Security 在受控測試中發現,只要一個偽造的錯誤報告,就能劫持 Claude Code。攻擊者透過 Sentry 平台的公開資料來源名稱(DSN)憑證,將惡意指令注入錯誤資料中,而 Claude Code、Cursor 和 Codex 等 AI 工具會將這些指令視為可信任的診斷輸出並執行。測試結果顯示,Tenet Security 在超過 100 個目標的測試中,成功率高達 85%。資安公司 Sentry 更坦承,這項漏洞在技術上「無法防禦」。
傳統防禦失效 雲端服務面臨風險
傳統的資安工具如端點偵測與回應(EDR)、應用程式防火牆(WAF)、特權身份管理(IAM)以及網路防火牆,在此類代理劫持攻擊中完全失效,未能偵測到任何異常。攻擊過程未涉及憑證竊取、策略違反或邊界突破,每一步驟皆獲得授權,卻導致開發人員在不知情的情況下,悄悄洩漏雲端憑證和原始碼控制權杖等敏感資料。例如,研究人員在一個被劫持的 Claude Code 環境中,發現了即時的 AWS 密鑰存取金鑰和私人儲存庫網址。
雲端安全聯盟(Cloud Security Alliance)已將代理劫持歸類為系統性的多雲平台(MCP)漏洞。若 AI 編程代理程式與 Sentry、Datadog、PagerDuty、Jira 或任何其他開發人員信任的 MCP 連接資料來源串接,且這些代理程式能執行命令,那麼其系統也存在相同的盲點。目前,Tenet Security 已識別出有 2,388 個組織的 Sentry 憑證公開暴露,可能成為大規模惡意注入事件的目標,因此呼籲使用 Sentry 的組織應立即審查所有公開暴露的 DSNs。
AI 工具信任度過高 資安管控不足
2026 年上半年的多項調查結果顯示,企業對 AI 代理程式的信任程度遠超過實際的安全防護。根據 Okta 和 Apprize360 公司對 292 位主管及 492 位知識工作者的調查,僅有 34% 的組織對 AI 代理程式實施與人類使用者相同的安全管控措施。此外,有 52% 的員工使用未經批准的 AI 工具,且 58% 的高階主管在過去一年中曾報告發生 AI 相關事件或險情。HiddenLayer 公司的 2026 年 AI 威脅情勢報告指出,33% 的受訪者表示 AI 代理程式已超出預期使用範圍,另有 31% 無法確認是否曾遭遇 AI 洩密事件。
CrowdStrike 技術長 Elia Zaitsev 表示,保護 AI 代理程式與保護具高度權限的使用者非常相似,因為它們擁有身份、系統存取權限,並能進行推理和採取行動。他強調,過去人們往往忽視執行期(runtime)安全,但現在 AI 代理程式作為生產工具,執行期安全成為不可或缺的「安全網」。
為應對此挑戰,資安公司 CrowdStrike 已於六月十五日推出「AI 代理程式持續身份識別(Continuous Identity for AI Agents)」解決方案,透過實時授權每個代理程式的行動,取代靜態策略。隨著歐盟 AI 法案(EU AI Act)中高風險合規義務將於 2026 年八月二日生效,企業對 AI 工具的資安防護將面臨更嚴峻的考驗。
