資安公司 Tenet Security 近日揭露一種名為「代理劫持」(agentjacking)的攻擊手法,成功挾持了 Anthropic 開發的人工智慧(AI)程式開發工具 Claude Code。這類攻擊利用錯誤報告系統的漏洞,能在不觸發任何警報的情況下,讓 AI 工具執行攻擊者的程式碼,且擁有開發人員的完整權限。
Tenet Security 在受控測試中發現,只要一個偽造的錯誤報告,就能劫持 Claude Code。攻擊者透過 Sentry 平台的公開資料來源名稱(DSN)憑證,將惡意指令注入錯誤資料中,而 Claude Code、Cursor 和 Codex 等 AI 工具會將這些指令視為可信任的診斷輸出並執行。測試結果顯示,Tenet Security 在超過 100 個目標的測試中,成功率高達 85%。資安公司 Sentry 更坦承,這項漏洞在技術上「無法防禦」。
傳統防禦失效 雲端服務面臨風險
傳統的資安工具如端點偵測與回應(EDR)、應用程式防火牆(WAF)、特權身份管理(IAM)以及網路防火牆,在此類代理劫持攻擊中完全失效,未能偵測到任何異常。攻擊過程未涉及憑證竊取、策略違反或邊界突破,每一步驟皆獲得授權,卻導致開發人員在不知情的情況下,悄悄洩漏雲端憑證和原始碼控制權杖等敏感資料。例如,研究人員在一個被劫持的 Claude Code 環境中,發現了即時的 AWS 密鑰存取金鑰和私人儲存庫網址。
2026 年上半年的多項調查結果顯示,企業對 AI 代理程式的信任程度遠超過實際的安全防護。根據 Okta 和 Apprize360 公司對 292 位主管及 492 位知識工作者的調查,僅有 34% 的組織對 AI 代理程式實施與人類使用者相同的安全管控措施。此外,有 52% 的員工使用未經批准的 AI 工具,且 58% 的高階主管在過去一年中曾報告發生 AI 相關事件或險情。HiddenLayer 公司的 2026 年 AI 威脅情勢報告指出,33% 的受訪者表示 AI 代理程式已超出預期使用範圍,另有 31% 無法確認是否曾遭遇 AI 洩密事件。
CrowdStrike 技術長 Elia Zaitsev 表示,保護 AI 代理程式與保護具高度權限的使用者非常相似,因為它們擁有身份、系統存取權限,並能進行推理和採取行動。他強調,過去人們往往忽視執行期(runtime)安全,但現在 AI 代理程式作為生產工具,執行期安全成為不可或缺的「安全網」。
為應對此挑戰,資安公司 CrowdStrike 已於六月十五日推出「AI 代理程式持續身份識別(Continuous Identity for AI Agents)」解決方案,透過實時授權每個代理程式的行動,取代靜態策略。隨著歐盟 AI 法案(EU AI Act)中高風險合規義務將於 2026 年八月二日生效,企業對 AI 工具的資安防護將面臨更嚴峻的考驗。