Apa yang terjadi
Tenet Security (diungkapkan 12 Juni 2026) menunjukkan bahwa kredensial Data Source Name (DSN) hanya tulis publik Sentry — tertanam di JavaScript situs web sesuai desain — dapat disalahgunakan oleh penyerang apa pun untuk POST laporan error palsu buatan yang berisi instruksi markdown tersembunyi. Ketika pengembang meminta Claude Code, Cursor, atau Codex untuk 'memperbaiki masalah Sentry yang belum terselesaikan' melalui server Sentry MCP, agen mengambil event yang terracun dan menjalankan perintah penyerang dengan hak istimewa sistem pengembang sendiri. Tidak ada autentikasi, tidak ada pelanggaran target, dan tidak ada pengiriman malware yang diperlukan. Tenet mengkonfirmasi tingkat keberhasilan eksploitasi 85% di seluruh agen yang diuji, mengidentifikasi 2.388 organisasi dengan DSN yang dapat disuntikkan, dan mengamati eksekusi kode yang dikonfirmasi di target Fortune 500 dan penyedia cloud. Sentry menerapkan filter konten yang hanya memblokir string payload tertentu yang diuji; jalur injeksi DSN yang mendasar tetap utuh secara arsitektural.
Mengapa penting
Ini adalah kelas serangan agentic novel yang mengeksploitasi kepercayaan MCP implisit: agen pengkodean AI tidak dapat membedakan data error yang sah dari instruksi yang disuntikkan penyerang, jadi ia menjalankan perintah arbitrer dengan hak istimewa pengembang penuh — mengekstirpasi variabel lingkungan, kunci AWS/cloud, kredensial Git, dan URL repositori pribadi. Setiap EDR, WAF, IAM, VPN, dan kontrol Cloudflare buta terhadap serangan karena semua tindakan berjalan di bawah sesi yang diotorisasi pengembang. Radius ledakan adalah organisasi apa pun yang pengembangnya menggunakan Claude Code, Cursor, atau Codex dengan integrasi Sentry MCP — Tenet mengkonfirmasi 2.388 organisasi seperti itu hanya dalam data publik.
Vektor serangan
Penyerang memposting event error HTTP yang dirancang ke DSN Sentry publik target yang berisi instruksi markdown tersembunyi di bidang 'Resolusi' atau pesan. Ketika pengembang meminta agen pengkodean AI mereka untuk menyelidiki error Sentry, server Sentry MCP mengembalikan event yang terracun sebagai konteks tepercaya, dan agen menjalankan perintah yang tertanam di mesin pengembang.
Sistem yang terdampak
Claude Code, Cursor, dan Codex agen pengkodean AI dengan integrasi server Sentry MCP; organisasi apa pun yang menggunakan DSN Sentry di aplikasi yang menghadap publik
Mitigasi
Perlakukan semua output server MCP sebagai tidak tepercaya; nonaktifkan integrasi Sentry MCP atau sandboxkan invokasi alat agen di balik persetujuan manusia. Putar ulang kredensial apa pun yang terbuka di lingkungan pengembang. Mitigasi saat ini Sentry (filter konten pada string payload tertentu) tidak menutup kerentanan struktural. Lihat: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors