기술 설명
Tenet Security의 Threat Labs는 2026년 6월 11일 'Agentjacking'을 공개했습니다. 이는 모든 웹사이트의 JavaScript에 내장된 공개적으로 노출된 DSN(Data Source Name) 자격증명만을 사용하여 Sentry(애플리케이션 성능 모니터링 플랫폼)에 조작된 오류 이벤트를 주입하는 새로운 공격 분류입니다. 개발자가 AI 코딩 에이전트(Claude Code, Cursor, Codex)에게 '미해결 Sentry 이슈를 수정해달라'고 요청하면, 에이전트는 Sentry MCP 서버를 통해 Sentry를 쿼리하고 공격자의 주입된 페이로드를 받으며, 이는 합법적인 Sentry 개선 지침과 구별할 수 없게 렌더링됩니다. 그러면 에이전트는 개발자의 전체 로컬 권한으로 공격자 제어 명령을 실행합니다. 피싱, 인증 우회, 대상 인프라 손상이 필요하지 않습니다.
공격 경로
공격자는 공개 JavaScript 소스 코드에서 대상 조직의 Sentry DSN을 획득하고, 악의적인 마크다운 지시사항이 포함된 조작된 오류 이벤트를 Sentry의 인증되지 않은 수집 엔드포인트로 POST합니다. 이벤트는 MCP를 통해 신뢰할 수 있는 시스템 출력으로 반환되고, AI 코딩 에이전트는 사용자 상호작용 없이 페이로드(예: 악의적인 npm 패키지)를 실행합니다. 이 공격은 모든 네트워크 트래픽이 승인되고 모든 파일 작업이 개발자 프로세스로 서명되므로 EDR 및 WAF를 우회합니다.
영향받는 시스템
MCP를 통해 Sentry와 통합된 Claude Code, Cursor, OpenAI Codex. Tenet는 100개 이상의 실제 대상에 걸쳐 85% 성공률을 확인했으며, 주입 가능한 공개 DSN을 가진 2,388개 조직을 발견했습니다. MCP를 통해 Sentry에 연결된 AI 코딩 에이전트를 사용하는 모든 조직이 노출되어 있습니다.
완화 방안
즉시 필요: (1) 외부/제3자 데이터를 반환하는 도구에 대한 모든 MCP 서버 통합을 감사하고 제어가 실행될 때까지 Sentry MCP를 비활성화합니다. (2) 에이전트가 코드를 실행하거나 패키지를 설치하기 전에 인간 확인 승인 게이트를 시행합니다. (3) Sentry DSN을 교체하고 MCP 수집에 대한 백엔드 프록시 인증을 고려합니다. 중기: MCP 도구 응답 출처 라벨링 및 원격측정 소싱 데이터로부터의 코드 실행을 금지하는 에이전트 샌드박싱을 구현합니다.