技术说明
Tenet Security的威胁实验室于2026年6月11日披露了"代理劫持"——一种新颖的攻击类别,使用任何网站JavaScript中嵌入的公开暴露的数据源名称(DSN)凭证向Sentry(应用程序性能监控平台)注入精心制造的错误事件。当开发人员要求其AI编码代理(Claude Code、Cursor、Codex)"修复未解决的Sentry问题"时,代理通过Sentry MCP服务器查询Sentry并接收攻击者注入的有效载荷,与合法的Sentry补救指导无法区分。然后代理以开发人员的完整本地权限执行攻击者控制的命令——无需网络钓鱼、无需身份验证绕过、无需目标基础设施的妥协。
攻击途径
攻击者从公共JavaScript源代码获得目标组织的Sentry DSN;向Sentry的未认证摄入端点POST一个包含恶意markdown指令的精心制造的错误事件;该事件通过MCP作为受信任的系统输出返回;AI编码代理执行有效载荷(例如,恶意npm包),无需用户交互。该攻击绕过EDR和WAF,因为所有网络流量都是授权的,所有文件操作都由开发人员进程签名。
受影响系统
通过MCP与Sentry集成的Claude Code、Cursor和OpenAI Codex。Tenet在100多个真实世界目标上确认了85%的成功率;发现2,388个具有可注入公开DSN的组织。任何使用通过MCP连接到Sentry的AI编码代理的组织都处于暴露状态。
缓解措施
立即:(1) 审计所有MCP服务器集成以了解返回外部/第三方数据的工具,并在控制措施就位之前禁用Sentry MCP。(2) 在代理执行代码或安装包之前强制执行人工循环批准门控。(3) 轮换Sentry DSN并考虑为MCP摄入的后端代理身份验证。中期:实施MCP工具响应来源标签和代理沙箱,禁止来自遥测源数据的代码执行。