技術的な説明
Tenet Security's Threat Labsは2026年6月11日に「Agentjacking」を開示しました。これは、任意のウェブサイトのJavaScriptに埋め込まれた公開されたData Source Name (DSN)認証情報を使用してのみ、Sentry(アプリケーション性能監視プラットフォーム)に細工されたエラーイベントを注入する新種の攻撃クラスです。開発者がAIコーディングエージェント(Claude Code、Cursor、Codex)に「未解決のSentryの問題を修正する」よう指示すると、エージェントはSentry MCP サーバー経由でSentryをクエリし、攻撃者の注入されたペイロードを受け取ります。これは正規のSentry修復ガイダンスと区別不可能にレンダリングされます。その後、エージェントは開発者の完全なローカル権限で攻撃者が制御するコマンドを実行します。フィッシングもなく、認証バイパスもなく、対象インフラストラクチャの侵害も不要です。
攻撃経路
攻撃者が公開JavaScriptソースコードから対象組織のSentry DSNを入手し、悪意のあるマークダウン指示を含む細工されたエラーイベントをSentryの認証なしインジェストエンドポイントにPOSTします。イベントはMCP経由で信頼できるシステム出力として返されます。AIコーディングエージェントはユーザーインタラクションなしでペイロード(例えば、悪意のあるnpmパッケージ)を実行します。EDRとWAFをバイパスします。すべてのネットワークトラフィックが許可されており、すべてのファイル操作が開発者プロセスによって署名されているためです。
影響を受けるシステム
Claude Code、Cursor、およびOpenAI CodexがSentry経由でMCP統合されている場合。Tenetは100以上の実世界の対象全体で85%の成功率を確認しました。2,388組織が注入可能な公開DSNを保有していることが判明しています。Sentry経由でMCP接続されたAIコーディングエージェントを使用している組織は露出しています。
緩和策
直急:(1)第三者/外部データを返すツールのすべてのMCPサーバー統合を監査し、コントロールが実装されるまでSentry MCPを無効化してください。(2)エージェントがコードを実行またはパッケージをインストールする前に、人間による承認ゲートを適用してください。(3)Sentry DSNをローテーションし、MCPインジェストのバックエンドプロキシ認証を検討してください。中期:(4)MCP ツールレスポンス出所ラベリングとテレメトリソースデータからのコード実行を禁止するエージェントサンドボックスを実装してください。