事件经过
Tenet Security于2026年6月12-23日披露了一种名为"Agent挟持"的新型攻击类别:攻击者向目标的公共Sentry DSN提交精心编制的虚假错误事件——除DSN外无需其他身份验证——在错误负载的markdown中嵌入伪装成解决方案指导的shell命令。当开发人员要求其AI编码代理(Claude Code、Cursor、Codex)修复Sentry问题时,代理通过Sentry MCP服务器读取恶意事件,将攻击者注入的指令视为权威指导,并以开发人员的完整权限执行命令。该攻击绕过EDR、防火墙、VPN和IAM,因为每个操作都是单独授权的。在受控测试中,Tenet在所有三个代理中实现了85%的成功率;他们识别了2388个暴露的组织,包括财富100强公司。云安全联盟在数天内发布了正式研究说明;国家安全局曾在2026年5月的MCP安全指导中预警了这一类别。
影响分析
这是一个结构上新颖且实际上无法修补的间接提示注入类别,将任何可公开访问的MCP数据源(其内容未经密码学认证)转换为任意代码执行向量。所有使用MCP遥测的AI编码代理都受到通用影响——不是单一供应商,不是单一CVE——这意味着使用Claude Code、Cursor或Codex与Sentry(或类似的可观测性)MCP集成的每个组织都受到影响。泄露的凭证包括AWS密钥、GitHub令牌、git密钥和私有仓库URL。
攻击途径
攻击者向目标的公共DSN发送包含注入shell指令的精心编制Sentry错误事件;代理在下一个"修复错误"任务中通过MCP获取该事件,并使用开发人员级权限执行嵌入的命令
受影响系统
Claude Code(所有带Sentry MCP的版本)、Cursor(所有带Sentry MCP的版本)、OpenAI Codex(所有带Sentry MCP的版本);任何使用未认证MCP数据源的AI编码代理
缓解措施
禁用编码代理中的自动执行;要求人工批准所有工具调用的命令;将所有MCP来源的数据视为不受信任的输入;部署Tenet Security的开源加固配置'agent-jackstop'(https://github.com/tenet-security/agent-jackstop)。供应商公告:https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/