Agentjacking: Integrasi Sentry MCP yang Dipersenjatai untuk Menjalankan Kode Arbitrer pada Mesin Pengembang melalui Injeksi Event Error

Threat Labs Tenet Security mengungkapkan 'Agentjacking' pada 11 Juni 2026 — sebuah kelas serangan baru yang menyuntikkan event error yang dirancang ke dalam Sentry (platform pemantauan kinerja aplikasi) hanya menggunakan kredensial Data Source Name (DSN) yang terekspos secara publik tertanam dalam JavaScript situs web apa pun. Ketika pengembang meminta agen coding AI mereka (Claude Code, Cursor, Codex) untuk 'memperbaiki issue Sentry yang belum terselesaikan,' agen melakukan query ke Sentry melalui server Sentry MCP dan menerima payload yang disuntikkan penyerang, yang ditampilkan tidak dapat dibedakan dari panduan remediasi Sentry yang sah. Agen kemudian menjalankan perintah yang dikendalikan penyerang dengan privilege lokal penuh pengembang — tanpa phishing, tanpa bypass autentikasi, tanpa kompromi infrastruktur target yang diperlukan.

Penyerang memperoleh DSN Sentry organisasi target dari kode sumber JavaScript publik; POST event error yang dirancang berisi instruksi markdown berbahaya ke endpoint ingest unauthenticated Sentry; event dikembalikan melalui MCP sebagai output sistem terpercaya; agen coding AI menjalankan payload (misalnya, paket npm berbahaya) tanpa interaksi pengguna. Serangan ini memotong EDR dan WAF karena semua traffic jaringan diotorisasi dan semua operasi file ditandatangani oleh proses pengembang.

Claude Code, Cursor, dan OpenAI Codex ketika terintegrasi dengan Sentry melalui MCP. Tenet memastikan tingkat keberhasilan 85% di seluruh 100+ target dunia nyata; 2.388 organisasi ditemukan dengan DSN publik yang dapat disuntikkan. Organisasi apa pun yang menggunakan agen coding AI yang terhubung ke Sentry melalui MCP terekspos.

Segera: (1) Audit semua integrasi server MCP untuk tool yang mengembalikan data eksternal/pihak ketiga dan nonaktifkan Sentry MCP sampai kontrol diterapkan. (2) Terapkan gerbang persetujuan human-in-the-loop sebelum agen menjalankan kode atau memasang paket. (3) Rotasi DSN Sentry dan pertimbangkan proxy backend auth untuk ingest MCP. Jangka menengah: Implementasikan pelabelan provenance respons tool MCP dan sandboxing agen yang melarang eksekusi kode dari data bersumber telemetri.