事件经过
Tenet安全公司(2026年6月12日披露)演示了Sentry的公共只写数据源名称(DSN)凭证——按设计嵌入网站JavaScript中——可被任何攻击者滥用,通过POST包含隐藏markdown指令的精心构造的假错误报告。当开发人员要求Claude Code、Cursor或Codex通过Sentry MCP服务器"修复未解决的Sentry问题"时,代理检索被毒化的事件并以开发人员自己的系统权限执行攻击者的命令。不需要身份验证、不需要对目标的入侵、不需要恶意软件传递。Tenet确认了跨测试代理85%的利用成功率,识别了2,388个具有可注入DSN的组织,并在财富500强和云提供商目标处观察到确认的代码执行。Sentry部署了内容过滤器,仅阻止特定测试的有效负载字符串;底层DSN注入途径在架构上保持完整。
影响分析
这是一种利用隐性MCP信任的新颖代理攻击类:AI编码代理无法区分合法错误数据和攻击者注入的指令,因此它使用完整的开发人员权限执行任意命令——泄露环境变量、AWS/云密钥、Git凭证和私有存储库URL。每个EDR、WAF、IAM、VPN和Cloudflare控制对攻击都是盲目的,因为所有操作都在开发人员的授权会话下运行。影响范围是任何其开发人员使用Claude Code、Cursor或Codex以及Sentry MCP集成的组织——Tenet仅在公共数据中就确认了2,388个这样的组织。
攻击途径
攻击者向目标的公共Sentry DSN POST一个精心构造的HTTP错误事件,包含隐藏在"解决方案"或消息字段中的markdown指令。当开发人员要求其AI编码代理调查Sentry错误时,Sentry MCP服务器将被毒化的事件作为可信上下文返回,代理在开发人员的机器上执行嵌入的命令。
受影响系统
具有Sentry MCP服务器集成的Claude Code、Cursor和Codex AI编码代理;任何在公共面向应用中使用Sentry DSN的组织
缓解措施
将所有MCP服务器输出视为不可信;禁用Sentry MCP集成或在人工审批后沙箱代理工具调用。轮换开发人员环境中暴露的任何凭证。Sentry当前的缓解措施(针对特定有效负载字符串的内容过滤器)不会关闭结构性漏洞。参见:https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors