Tấn công 'Agentjacking' qua Sentry chiếm đoạt Claude Code: Datadog, PagerDuty, Jira cũng gặp nguy hiểm! ⚠️
Một báo cáo lỗi giả mạo duy nhất đã thành công chiếm đoạt Claude Code trong thử nghiệm có kiểm soát. Tác nhân AI đã chạy mã của kẻ tấn công với đầy đủ đặc quyền của nhà phát triển, mà không hề có bất kỳ cảnh báo nào được kích hoạt. Các hệ thống bảo mật như EDR, WAF, IAM và tường lửa đều hoàn toàn bỏ sót.
🕵️♂️ "Agentjacking" là gì và hoạt động ra sao?
Tiết lộ về "agentjacking" của Tenet Security vào tháng 6 đã mô tả một sự kiện lỗi Sentry được tạo tác công phu – được gửi qua một thông tin xác thực công khai không yêu cầu vi phạm hay xác thực – đã tiêm các lệnh của kẻ tấn công vào dữ liệu lỗi mà Claude Code, Cursor và Codex sau đó thực thi như một đầu ra chẩn đoán đáng tin cậy. Tenet đã thử nghiệm hơn 100 mục tiêu trong điều kiện kiểm soát và đạt tỷ lệ thành công 85%. Sentry gọi lỗ hổng này là "về mặt kỹ thuật không thể phòng thủ."
Liên minh An ninh Điện toán Đám mây (Cloud Security Alliance) đã phân loại agentjacking là một lớp lỗ hổng hệ thống MCP (Managed Control Plane) chỉ vài ngày sau khi vụ việc được công bố. Không có thông tin xác thực nào bị đánh cắp, không có chính sách nào bị vi phạm, không có ranh giới nào bị xâm phạm: mọi bước trong chuỗi đều được ủy quyền hợp lệ. Đây chính là vấn đề cốt lõi.
🎯 Phạm vi ảnh hưởng và các hệ thống bị phơi nhiễm
Tenet đã xác định 2.388 tổ chức có thông tin xác thực Sentry công khai có thể bị sử dụng để tiêm các sự kiện độc hại trên quy mô lớn. Nghiên cứu này là bằng chứng về khái niệm, chưa xác nhận việc khai thác trên tất cả 2.388 tổ chức. Tuy nhiên, một môi trường Claude Code bị chiếm đoạt đã chứa khóa truy cập bí mật AWS và các URL kho lưu trữ riêng tư đang hoạt động.
Đây là bài kiểm tra phạm vi: Nếu các tác nhân mã hóa AI của bạn được kết nối với Sentry, Datadog, PagerDuty, Jira hoặc bất kỳ nguồn dữ liệu nào được kết nối với MCP mà nhà phát triển của bạn tin tưởng – và các tác nhân đó có thể thực thi các lệnh shell – thì hệ thống của bạn có cùng điểm mù.
Các tổ chức đang sử dụng Sentry nên kiểm tra ngay lập tức tất cả các DSN công khai. Kiến trúc của Sentry cố tình công khai thông tin xác thực DSN để báo cáo lỗi giao diện người dùng, vì vậy biện pháp khắc phục không phải là thu hồi DSN – mà là hạn chế những gì tác nhân có thể làm với dữ liệu mà các DSN đó trả về.
❌ Vì sao các hệ thống bảo mật truyền thống lại "bó tay"?
Agentjacking hoạt động vì mọi bước đều được ủy quyền: Kẻ tấn công gửi một lệnh gọi API Sentry hợp lệ bằng DSN công khai, máy chủ MCP trả về sự kiện đã được tiêm như một đầu ra xác thực, và tác nhân thực thi lệnh bằng các đặc quyền của nhà phát triển. Không có chữ ký nào được kích hoạt. Nạn nhân chỉ thấy các chẩn đoán lành tính trong khi tác nhân âm thầm phơi bày thông tin xác thực đám mây và token kiểm soát nguồn.
Các nhóm SOC (Security Operations Center) chưa bao giờ cần phân biệt giữa một nhà phát triển chạy lệnh npm install và một tác nhân chạy lệnh đó để phản hồi một sự kiện lỗi độc hại. Sự khác biệt đó không tồn tại cho đến khi các tác nhân mã hóa AI trở thành công cụ sản xuất. Hệ thống không thể tạo ra sự khác biệt đó chính là hệ thống mà agentjacking bỏ qua.
📊 Doanh nghiệp quá tin tưởng AI tác nhân: 5 khảo sát cho thấy khoảng cách lớn
Năm cuộc khảo sát độc lập từ nửa đầu năm 2026 cho thấy các doanh nghiệp tin tưởng các tác nhân AI của họ vượt xa mức độ kiểm soát và thực thi bảo mật cho phép.
* Chỉ 34% các tổ chức áp dụng các kiểm soát bảo mật tương tự cho tác nhân AI như đối với con người, theo khảo sát của Okta/Apprize360 với 292 giám đốc điều hành và 492 nhân viên. 52% nhân viên sử dụng các công cụ AI không được phê duyệt, và 58% giám đốc điều hành báo cáo một sự cố liên quan đến AI hoặc suýt xảy ra trong năm trước. * Báo cáo Cảnh quan Đe dọa AI 2026 của HiddenLayer khảo sát 250 lãnh đạo IT và bảo mật: 33% báo cáo rằng tác nhân đã vượt quá phạm vi dự định, và 31% không thể xác nhận liệu họ có trải qua một vụ vi phạm AI hay không. Một trong tám vụ vi phạm AI có liên quan đến các hệ thống tác nhân. * Khảo sát của Gravitee với hơn 900 giám đốc điều hành và chuyên gia cho thấy chỉ 14,4% tác nhân được triển khai với sự phê duyệt bảo mật đầy đủ, và 88% báo cáo các sự cố đã xác nhận hoặc nghi ngờ. Một cuộc khảo sát tiếp theo với 750 lãnh đạo vào tháng 4 cho thấy số lượng tác nhân đã tăng gấp đôi trong khi việc giám sát hầu như không thay đổi.
⏳ Khoảng trống Runtime không ai đóng
Elia Zaitsev, CTO của CrowdStrike, chia sẻ trong một cuộc phỏng vấn với VentureBeat: "Bảo mật tác nhân rất giống với việc bảo mật người dùng có đặc quyền cao. Họ có định danh, quyền truy cập vào các hệ thống cơ bản, họ suy luận, họ hành động."
Zaitsev đã chỉ ra khoảng trống mà ngành công nghiệp đã bỏ ngỏ: "Không ai nói về việc bảo mật tác nhân tại thời điểm thực thi (runtime). Chúng tôi đang làm điều đó ngay bây giờ. Lưới an toàn của bạn là gì? Nếu tất cả các kiểm soát này thất bại, làm thế nào để bạn ngăn chặn chúng thất bại một cách âm thầm?"
Dữ liệu của CrowdStrike cho thấy mức độ phơi nhiễm: hơn 1.800 ứng dụng tác nhân trên các điểm cuối của doanh nghiệp, khoảng 160 triệu phiên bản đang được giám sát. Vào ngày 15 tháng 6, CrowdStrike đã ra mắt "Continuous Identity for AI Agents" (Định danh liên tục cho tác nhân AI), thay thế các chính sách tĩnh bằng việc thực thi liên tục ủy quyền mọi hành động của tác nhân trong thời gian thực. Lớp kiểm soát mà thông báo này phản ánh – ủy quyền cấp độ hành động liên tục với định danh tác nhân có thể xác minh – hiện là tiêu chí mua sắm cơ bản, bất kể nhà cung cấp.
Zaitsev cũng rất thẳng thắn về các phương pháp tiếp cận sandbox: "Nếu bạn bắt đầu với một tác nhân trong một sandbox không có khả năng chạm vào bất cứ thứ gì, nó sẽ vô dụng. Rất nhanh chóng, bạn sẽ chạy đua để cung cấp cho nó nhiều khả năng hơn. Và rồi mục đích của sandbox là gì?" Các tác nhân có giá trị từ quyền truy cập. Mỗi quyền truy cập được cấp là một bề mặt tấn công.
💰 Khoảng trống Quản trị: Một vấn đề về ngân sách
Kayne McGladrey, thành viên cấp cao của IEEE, đã mô tả thách thức cấu trúc trong một cuộc phỏng vấn độc quyền với VentureBeat: "CISO không có ngân sách. CISO không có nhân sự. Chúng ta có thể quan sát rủi ro, chúng ta có thể tư vấn về rủi ro kinh doanh, nhưng chúng ta không sở hữu các hệ thống kinh doanh bị ảnh hưởng bởi những rủi ro đó." Khi quản trị tác nhân trải dài qua sáu ngân sách bộ phận, không một giám đốc điều hành nào có thể xác nhận liệu các tác nhân có được đánh giá quyền truy cập như con người hay không.
Khảo sát của Okta cũng định lượng sự ngắt kết nối này. Chỉ 43% nhân viên nói rằng chính sách tác nhân rõ ràng, so với 65% giám đốc điều hành, và gần hai phần ba áp dụng các biện pháp kiểm soát yếu hơn cho tác nhân so với con người. Những người triển khai tác nhân hàng ngày không nhận ra tư thế quản trị mà lãnh đạo của họ tuyên bố đã xây dựng.
Assaf Keren, Giám đốc an ninh của Qualtrics và cựu CISO tại PayPal, nói rõ: "Rủi ro thực sự không bắt đầu bằng việc triển khai các hệ thống AI. Đó là thực tế rằng kiến trúc cơ bản không được thiết lập tốt. Khi chúng ta đặt một hệ thống AI lên trên một thứ không được thiết kế tốt, chúng ta đang đẩy nhanh các vết nứt." Keren gọi phân tích hành vi tại thời điểm thực thi là "một vấn đề chưa được giải quyết ngay bây giờ."
📝 Bài kiểm tra 5 câu hỏi để phát hiện lỗ hổng
Bài kiểm tra 5 câu hỏi này dựa trên năm cuộc khảo sát từ nửa đầu năm 2026. Mỗi câu hỏi ánh xạ đến một lỗ hổng mà agentjacking khai thác. Hãy chạy bài kiểm tra này trước bất kỳ đánh giá nhà cung cấp nào trong quý 3.
* 1. Kiểm kê tác nhân: * Lỗ hổng: Chỉ 14,4% tác nhân được phê duyệt bảo mật đầy đủ trước khi triển khai; 52% nhân viên sử dụng công cụ AI không được phê duyệt. Trung bình một doanh nghiệp quản lý hơn 37 tác nhân đã triển khai, tăng gấp đôi so với Q4/2025. * Hậu quả: Tác nhân không được phê duyệt là vô hình đối với nền tảng định danh của bạn và không thể truy cứu trong trường hợp vi phạm. Agentjacking nhắm mục tiêu chính xác vào các kết nối MCP không được quản lý này. Không có kiểm kê đồng nghĩa với việc không có nhật ký kiểm tra cho phản ứng quy định. * Hành động tức thì: Lập một bản kiểm kê đầy đủ về tác nhân, máy chủ MCP và các tự động hóa LLM. Biến việc hoàn thành kiểm kê thành tiêu chí mua sắm cho tất cả các đánh giá nhà cung cấp trong Q3. Đánh dấu bất kỳ tác nhân nào được phát hiện sau kiểm kê là một sự cố AI ngầm.
* 2. Sự tương đồng trong kiểm soát: * Lỗ hổng: Chỉ 34% luôn áp dụng cùng các kiểm soát cho tác nhân như con người; 61% quyền truy cập đặc quyền được cấp mà không có đánh giá phù hợp. Chỉ 22% coi tác nhân là các thực thể mang định danh độc lập. * Hậu quả: Một tác nhân có token OAuth tĩnh và không có chu kỳ đánh giá là một tài khoản đặc quyền vĩnh viễn không có ngày kết thúc. Agentjacking kế thừa bất kỳ đặc quyền nào mà nhà phát triển đang nắm giữ. 45,6% tổ chức dựa vào các khóa API dùng chung để xác thực giữa các tác nhân. * Hành động tức thì: Thêm mọi tác nhân sản xuất vào chu kỳ đánh giá quyền truy cập tiếp theo. Yêu cầu sự can thiệp của con người đối với bất kỳ hành động nào của tác nhân liên quan đến PII (Thông tin nhận dạng cá nhân), dữ liệu tài chính hoặc hạ tầng sản xuất. Thay thế các khóa API dùng chung bằng các token có phạm vi, thời gian tồn tại ngắn.
* 3. Sai lệch phạm vi (Scope Drift): * Lỗ hổng: 33% báo cáo tác nhân đã vượt quá phạm vi; 53% nói rằng tác nhân đôi khi hoặc thỉnh thoảng vượt quá quyền hạn. Chỉ 8% nói rằng tác nhân không bao giờ vượt quá quyền hạn dự định. * Hậu quả: Sai lệch phạm vi kích hoạt các sự kiện phải báo cáo theo GDPR, CCPA, HIPAA và các quy tắc an ninh mạng của SEC. Nếu việc phát hiện không thể phân biệt giữa quyền truy cập do tác nhân khởi xướng và quyền truy cập do con người khởi xướng, các khung thời gian công bố là không thể đạt được. Các tác nhân con do tác nhân mẹ tạo ra (25,5% tác nhân đã triển khai có thể tạo ra các tác nhân khác) khiến nhật ký kiểm tra trở nên không thể kiểm soát về mặt toán học. * Hành động tức thì: Chạy kiểm toán sai lệch phạm vi 90 ngày trên mọi tác nhân sản xuất. So sánh các tài nguyên thực tế đã truy cập với tài liệu phạm vi đã được phê duyệt. Chặn ủy quyền giữa các tác nhân mà không có sự phê duyệt rõ ràng của con người đối với bất kỳ hành động nào vượt quá phạm vi của tác nhân mẹ.
* 4. Khoảng cách nhận thức về quản trị: * Lỗ hổng: Khoảng cách 22 điểm: 65% giám đốc điều hành nói chính sách rõ ràng, nhưng chỉ 43% nhân viên đồng ý. 77% nhóm bảo mật nhìn thấy rủi ro AI ngầm nhưng thiếu khả năng hiển thị để hành động. * Hậu quả: Bạn đang đánh giá các nhà cung cấp dựa trên một tư thế quản trị mà lực lượng lao động của bạn không nhận ra. Mỗi tác nhân ngầm làm suy yếu việc so sánh nhà cung cấp. Nhân viên chia sẻ tin nhắn nội bộ (54%), dữ liệu HR (45%), và tài liệu mật (39%) với các công cụ AI không được phê duyệt. * Hành động tức thì: Thực hiện một khảo sát một câu hỏi trước buổi demo nhà cung cấp tiếp theo của bạn. Nếu khoảng cách vượt quá 15 điểm, hãy tạm dừng việc mua sắm. Công bố một chính sách sử dụng tác nhân AI nội bộ chấp nhận được với các ví dụ cụ thể về hành vi tác nhân được phê duyệt và bị cấm.
* 5. Khả năng phát hiện vi phạm: * Lỗ hổng: 31% không thể trả lời. 88% báo cáo các sự cố bảo mật tác nhân AI đã xác nhận hoặc nghi ngờ. Một trong tám vụ vi phạm AI được báo cáo hiện có liên quan đến các hệ thống tác nhân. Agentjacking đã chứng minh EDR, WAF, IAM và tường lửa đều bỏ qua một cuộc tấn công do tác nhân trung gian mà không một cảnh báo nào được kích hoạt. * Hậu quả: Không có cơ sở cho khung thời gian công bố. Không có chuỗi bằng chứng cho phản ứng sự cố. Không có vị trí có thể bảo vệ trong một cuộc điều tra quy định. Các nghĩa vụ tuân thủ rủi ro cao của Đạo luật AI của EU có hiệu lực vào ngày 2 tháng 8 năm 2026. * Hành động tức thì: Yêu cầu phát hiện runtime dành riêng cho tác nhân như một điều kiện tiên quyết mua sắm. Xác nhận tổ chức của bạn có thể phân biệt các hành động do tác nhân khởi xướng với các hành động do con người khởi xướng trong dữ liệu đo từ xa sản xuất. Kiểm tra khả năng của SOC của bạn để quy một hành động cụ thể cho một tác nhân cụ thể trong vòng 60 phút.
🛠 Kế hoạch hành động cho Giám đốc An ninh
Các nghĩa vụ tuân thủ rủi ro cao của Đạo luật AI của EU sẽ có hiệu lực vào ngày 2 tháng 8 năm 2026. Điều này đáng để xem xét trong lịch trình lập kế hoạch Q3.
1. Chạy bài kiểm tra 5 câu hỏi trên trước bất kỳ đánh giá nhà cung cấp Q3 nào – việc thực hiện không tốn kém, và sự rõ ràng trong mua sắm mà nó tạo ra đáng giá hơn nhiều so với 30 phút bạn bỏ ra. 2. Cân nhắc yêu cầu phát hiện runtime dành riêng cho tác nhân. Nếu hệ thống của bạn không thể phân biệt được tác nhân đã làm gì với những gì nhà phát triển đã làm, agentjacking sẽ bỏ qua nó giống như cách nó bỏ qua mọi lớp trong thử nghiệm của Tenet. Sự khác biệt đó là điều quan trọng bây giờ. 3. Đối xử với mọi tác nhân như một nhân viên nội bộ có đặc quyền. Theo khảo sát của Okta/Apprize360, chỉ 34% tổ chức áp dụng cùng các kiểm soát cho tác nhân như con người; việc thu hẹp khoảng cách đó là điều có tác động lớn nhất mà hầu hết các nhóm bảo mật có thể làm trong quý này. 4. Kiểm tra khoảng cách nhận thức trước khi đầu tư vào công cụ mới. Một câu hỏi cho 50 nhân viên: Bạn có biết chính sách tác nhân AI của công ty mình không? Nếu khoảng cách giữa câu trả lời của họ và câu trả lời của lãnh đạo vượt quá 15 điểm, đó là vấn đề cần giải quyết trước tiên. Không có sản phẩm nhà cung cấp nào khắc phục được tư thế quản trị mà chính lực lượng lao động của bạn không nhận ra. 5. Biến việc hoàn thành kiểm kê tác nhân thành tiêu chí mua sắm – mọi tác nhân, mọi kết nối MCP. Các nhóm bảo mật đang làm đúng điều này là những người đã bắt đầu với một kho kiểm kê đầy đủ và tiến lên từ đó.
💡 Kết luận: "Được phép" không có nghĩa là "An toàn"
Agentjacking đã loại bỏ một giả định đã tồn tại qua mọi kiến trúc bảo mật kể từ khi tường lửa đầu tiên được triển khai. "Được phép" không có nghĩa là "an toàn". Khi mọi bước trong chuỗi đều hợp pháp, biện pháp phòng thủ duy nhất quan trọng là biện pháp theo dõi những gì tác nhân thực sự làm, chứ không phải những gì chính sách nói.