Agentjacking — Injeksi Prompt Tidak Langsung MCP Sentry Mencapai Eksekusi Kode Arbitrer pada Agen Pengkodean AI (Tingkat Keberhasilan 85%, 2.388 Organisasi Terekspos)

Tenet Security mengungkapkan pada 12–23 Juni 2026 kelas serangan baru yang disebut 'Agentjacking': penyerang mengirimkan acara kesalahan palsu buatan ke DSN Sentry publik target — tidak ada autentikasi selain DSN yang diperlukan — menyematkan perintah shell yang menyamar sebagai panduan resolusi di dalam penurunan harga muatan kesalahan. Ketika pengembang meminta agen pengkodean AI mereka (Claude Code, Cursor, Codex) untuk 'memperbaiki masalah Sentry,' agen membaca acara berbahaya melalui server MCP Sentry, memperlakukan instruksi yang disuntikkan penyerang sebagai panduan berwenang, dan menjalankan perintah dengan hak istimewa penuh pengembang. Serangan ini melewati EDR, firewall, VPN, dan IAM sepenuhnya karena setiap tindakan secara individual diotorisasi. Dalam tes terkontrol Tenet mencapai tingkat keberhasilan 85% di ketiga agen; mereka mengidentifikasi 2.388 organisasi yang terekspos, termasuk perusahaan Fortune 100. Cloud Security Alliance menerbitkan catatan penelitian formal dalam beberapa hari; NSA telah memberikan peringatan sebelumnya tentang kelas ini dalam panduan keamanan MCP Mei 2026.

Ini adalah kelas injeksi prompt tidak langsung yang secara struktural baru dan secara efektif tidak dapat diperbaiki yang mengubah sumber data MCP yang dapat diakses publik apa pun yang kontennya tidak diautentikasi secara kriptografi menjadi vektor eksekusi kode arbitrer. Semua agen pengkodean AI yang mengonsumsi telemetri MCP secara umum terpengaruh — bukan vendor tunggal, bukan CVE tunggal — berarti jangkauan ledakan adalah setiap organisasi yang menggunakan Claude Code, Cursor, atau Codex dengan integrasi MCP Sentry (atau observabilitas analog). Kredensial yang dieksfiltrasi mencakup kunci AWS, token GitHub, rahasia git, dan URL repositori pribadi.

Penyerang memposting acara kesalahan Sentry buatan yang berisi instruksi shell yang disuntikkan ke DSN publik target; agen mengambil acara melalui MCP pada tugas 'perbaiki kesalahan' berikutnya dan menjalankan perintah tertanam dengan hak istimewa tingkat pengembang

Claude Code (semua versi dengan MCP Sentry), Cursor (semua versi dengan MCP Sentry), OpenAI Codex (semua versi dengan MCP Sentry); agen pengkodean AI apa pun yang mengonsumsi sumber data MCP yang tidak diautentikasi

Nonaktifkan eksekusi otomatis di agen pengkodean; perlukan persetujuan manusia untuk semua perintah yang dipanggil alat; perlakukan semua data yang bersumber dari MCP sebagai masukan yang tidak dipercaya; terapkan config hardening sumber terbuka Tenet Security 'agent-jackstop' (https://github.com/tenet-security/agent-jackstop). Nasihat vendor: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/