何が起きたか
Tenet Security(2026年6月12日に公開)は、設計上ウェブサイトのJavaScriptに埋め込まれたSentryの公開書き込み専用Data Source Name(DSN)認証情報が、任意の攻撃者によって悪用され、隠れたマークダウン命令を含む細工されたエラーレポートをPOSTできることを実証しました。開発者がClaude Code、Cursor、またはCodexに「Sentry MCPサーバー経由で未解決のSentryの問題を修正するよう」求めると、エージェントは毒性化されたイベントを取得し、攻撃者のコマンドを開発者自身のシステム権限で実行します。認証不要、ターゲットの侵害不要、マルウェアの配信も不要です。Tenetは、テストされたエージェント全体で85%の悪用成功率を確認し、2,388の組織が注入可能なDSNを持つことを特定し、Fortune 500およびクラウドプロバイダーターゲットで確認済みコード実行を観察しました。Sentryはテストされた特定のペイロード文字列のみをブロックするコンテンツフィルターをデプロイしましたが、基本的なDSN注入パスウェイは構造的に完全なままです。
なぜ重要か
これは、暗黙的なMCP信頼を悪用する新しいエージェント攻撃クラスです。AIコーディングエージェントは正当なエラーデータと攻撃者注入命令を区別できないため、完全な開発者権限で任意のコマンドを実行し、環境変数、AWS/クラウドキー、Git認証情報、プライベートリポジトリURLを流出させます。すべてのEDR、WAF、IAM、VPN、およびCloudflare制御は、すべてのアクションが開発者の認可されたセッションの下で実行されるため、この攻撃に対して盲目です。被害範囲は、Claude Code、Cursor、またはCodexを使用する開発者がいるすべての組織で、Sentry MCP統合を持つものです。Tenetは公開データだけで2,388のそのような組織を確認しました。
攻撃経路
攻撃者は、「Resolution」またはメッセージフィールドに隠れたマークダウン命令を含む細工されたHTTPエラーイベントをターゲットの公開Sentry DSNにPOSTします。開発者がAIコーディングエージェントにSentryエラーを調査するよう求めると、Sentry MCPサーバーは毒性化されたイベントを信頼できるコンテキストとして返し、エージェントは開発者のマシンに埋め込まれたコマンドを実行します。
影響を受けるシステム
Sentry MCP サーバー統合を備えたClaude Code、Cursor、およびCodex AIコーディングエージェント。公開向けアプリケーションでSentry DSNを使用しているすべての組織
緩和策
すべてのMCPサーバー出力を信頼されていないものとして扱う。Sentry MCP統合を無効にするか、エージェントツール呼び出しを人間による承認の背後にサンドボックス化する。開発者環境で公開された認証情報をすべてローテーションする。Sentryの現在の軽減措置(特定のペイロード文字列に対するコンテンツフィルター)は構造的な脆弱性を解決しません。参照:https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors