무슨 일이 있었나
Tenet Security (2026년 6월 12일 공개)는 설계상 웹사이트 JavaScript에 내장된 Sentry의 공개 쓰기 전용 Data Source Name (DSN) 자격증명이 모든 공격자에 의해 악용될 수 있음을 입증했습니다. 숨겨진 마크다운 명령어가 포함된 조작된 가짜 오류 보고서를 POST할 수 있습니다. 개발자가 Sentry MCP 서버를 통해 Claude Code, Cursor 또는 Codex에 '미해결 Sentry 문제 수정'을 요청하면, 에이전트는 중독된 이벤트를 검색하고 개발자의 시스템 권한으로 공격자의 명령어를 실행합니다. 인증, 대상 침해, 악성코드 전달이 필요하지 않습니다. Tenet는 테스트된 에이전트에서 85% 악용 성공률을 확인했고, 주입 가능한 DSN을 가진 2,388개 조직을 확인했으며, Fortune 500 및 클라우드 공급자 대상에서 확인된 코드 실행을 관찰했습니다. Sentry는 테스트된 특정 페이로드 문자열만 차단하는 콘텐츠 필터를 배포했습니다. 기본 DSN 주입 경로는 구조적으로 그대로 유지됩니다.
왜 중요한가
이것은 암시적 MCP 신뢰를 악용하는 새로운 에이전틱 공격 클래스입니다. AI 코딩 에이전트는 정상적인 오류 데이터와 공격자 주입 명령어를 구분할 수 없으므로 개발자 권한으로 임의의 명령어를 실행하여 환경 변수, AWS/클라우드 키, Git 자격증명 및 비공개 저장소 URL을 탈취합니다. 모든 EDR, WAF, IAM, VPN 및 Cloudflare 제어는 모든 작업이 개발자의 권한 있는 세션에서 실행되므로 공격에 대해 맹목적입니다. 영향 범위는 Claude Code, Cursor 또는 Codex와 Sentry MCP 통합을 사용하는 개발자가 있는 모든 조직입니다. Tenet는 공개 데이터만으로도 2,388개의 그러한 조직을 확인했습니다.
공격 경로
공격자는 '해결' 또는 메시지 필드에 숨겨진 마크다운 명령어가 포함된 조작된 HTTP 오류 이벤트를 대상의 공개 Sentry DSN에 POST합니다. 개발자가 자신의 AI 코딩 에이전트에 Sentry 오류를 조사하도록 요청하면, Sentry MCP 서버는 중독된 이벤트를 신뢰할 수 있는 컨텍스트로 반환하고, 에이전트는 개발자의 머신에서 내장된 명령어를 실행합니다.
영향받는 시스템
Sentry MCP 서버 통합이 있는 Claude Code, Cursor 및 Codex AI 코딩 에이전트; 공개 페이싱 애플리케이션에서 Sentry DSN을 사용하는 모든 조직
완화 방안
모든 MCP 서버 출력을 신뢰할 수 없는 것으로 취급합니다. Sentry MCP 통합을 비활성화하거나 에이전트 도구 호출을 인간 승인 뒤에 샌드박스 처리합니다. 개발자 환경에 노출된 모든 자격증명을 회전합니다. Sentry의 현재 완화 (특정 페이로드 문자열에 대한 콘텐츠 필터)는 구조적 취약점을 해결하지 못합니다. 참조: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors