Tenet Security と Cloud Security Alliance が 6 月 12 日に公開した「Agentjacking」は、Sentry の公開 DSN にエラーイベントを偽装注入し、MCP 経由でエラーを参照する AI コーディングエージェントを攻撃者制御のコード実行へ誘導する新しい攻撃クラスです。Claude Code・Cursor・Codex などへの平均成功率は 85% に達し、フィッシング不要で開発者の介入も要しない点が特徴です。
主なポイント
- 攻撃者は Sentry の DSN (公開設計で JS に埋め込まれる) に細工した error event を投げ、診断ステップを装った悪性命令を埋め込む
- AI エージェントは Sentry MCP を通じてエラーを解析し、提示された「修正手順」を疑わずに実行 ⇒ CI/CD 認証情報や秘密リポジトリの窃取が可能
- 公開 DSN を悪用可能な状態の組織は少なくとも 2,388 件、影響範囲は標準ワークフローのまま広範
- npm パッケージ取得・DSN 公開・エージェント実行はいずれも「設計通り」のため既存防御では検知困難
- Tenet と CSA は Sentry 側の DSN スコープ制限や MCP ツール定義の入力検証強化を推奨
出典: Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code (The Hacker News)