Sand Security Research har avdekket WriteOut, en kritisk feil i sesjonsisolasjonen hos den nå-patchede KI-plattformen Writer. Med bare en lenke kunne en utenforstående gå fra null tilgang til å overta en hvilken som helst Writer-organisasjon, ifølge sikkerhetsselskapet. Angriper og offer trengte ikke tilhøre samme organisasjon.
Angrepskjeden er kort. En angriper bygger en agent med live forhåndsvisning og deler den offentlige lenken. Når en innlogget Writer-bruker åpner den, legger nettleseren ved sesjonscookien. Forhåndsvisnings-proxyen sender cookien inn i angriperens sandkasse, der kode leser sesjonstokenet fra prosessminnet og sender det videre. Angriperen spiller av tokenet og har kontrollen: private chatter, dokumenter, konfigurasjoner, connectorer og LLM-nøkler, og administratortilgang avhengig av offerets rolle.
Det interessante for deg som bygger agenter ligger i hvorfor guardrailene sviktet. «Writer var ikke uforsiktig, det fantes guardrails», sier Sand Security. Input-filteret prøvde å blokkere forsøk på å lese miljøvariabler eller kjøre åpenbart ondsinnet kode. Men det sjekket instruksjonen, ikke hva koden gjorde ved kjøring. I stedet for å lime inn nyttelasten direkte ba forskerne agenten hente og kjøre et eksternt skript. Filteret så en harmløs «last ned og kjør», og selve utnyttelsen dukket aldri opp i prompten.
Hva betyr dette hvis du bygger agenter?
- Filtrer på kjøretidsatferd, ikke bare på teksten i prompten: «hent og kjør» skjuler alt som følger.
- Aldri videresend brukersesjoner inn i en sandkasse du lar andre kjøre kode i. Writers fiks var å flytte forhåndsvisninger til en isolert origin.
- Behandle delte forhåndsvisningslenker som kjørbar kode fra en fremmed, ikke som passiv visning.