何が起きたか
Tenet Securityは2026年6月12日~23日に「Agentjacking」と呼ばれる新しい攻撃クラスを開示しました。攻撃者は、ターゲットの公開Sentry DSNに細工された偽のエラーイベントを送信します。DSN以外の認証は不要で、エラーペイロードのマークダウン内にシェルコマンドを解決ガイダンスに見せかけて埋め込みます。開発者がAIコーディングエージェント(Claude Code、Cursor、Codex)に「Sentryの問題を修正する」よう指示すると、エージェントはSentry MCPサーバー経由で悪意のあるイベントを読み取り、攻撃者が注入した指示を信頼できるガイダンスとして扱い、開発者の全権限でコマンドを実行します。各アクション個別に認可されるため、攻撃はEDR、ファイアウォール、VPN、IAMすべてをバイパスします。管理されたテストでTenetは3つすべてのエージェント間で85%の成功率を達成しました。Fortune 100企業を含む2,388の露出した組織を特定しました。Cloud Security Allianceは数日以内に正式な研究ノートを公表しました。NSAは2026年5月のMCPセキュリティガイダンスでこのクラスについて事前警告していました。
なぜ重要か
これは構造的に新規な、実質的にはパッチ不可能な間接プロンプトインジェクションクラスです。コンテンツが暗号的に認証されていない公開アクセス可能なMCPデータソースを任意のコード実行ベクトルに変換します。MCPテレメトリーを消費するすべてのAIコーディングエージェントが一般的に影響を受けます。単一のベンダー、単一のCVEではなく、Claude Code、Cursor、またはCodexとSentry(または類似の可視性)MCP統合を使用するすべての組織がブラスト半径にあることを意味します。抽出される認証情報にはAWSキー、GitHubトークン、gitシークレット、プライベートリポジトリURLが含まれます。
攻撃経路
攻撃者は、注入されたシェル指示を含む細工されたSentryエラーイベントをターゲットの公開DSNにPOSTします。エージェントは次の「エラーを修正」タスク時にMCP経由でイベントを取得し、埋め込まれたコマンドを開発者レベルの権限で実行します。
影響を受けるシステム
Claude Code(Sentry MCPを持つすべてのバージョン)、Cursor(Sentry MCPを持つすべてのバージョン)、OpenAI Codex(Sentry MCPを持つすべてのバージョン)、未認証MCPデータソースを消費するあらゆるAIコーディングエージェント
緩和策
コーディングエージェントの自動実行を無効にします。ツール呼び出しコマンドすべてに人間の承認が必要です。MCPソースのすべてのデータを信頼できない入力として扱います。Tenet Securityのオープンソースハードニング設定「agent-jackstop」をデプロイします(https://github.com/tenet-security/agent-jackstop)。ベンダーアドバイザリ:https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/