📰 Agentjacking: как поддельная ошибка в Sentry превратила Cursor AI в троянского коня — и это только начало

 📰 Agentjacking: как поддельная ошибка в Sentry превратила Cursor AI в троянского коня — и это только начало

Одна-единственная поддельная ошибка. Без взлома, без кражи учеток, без нарушения политик. Агент просто поверил тому, что увидел, и запустил код злоумышленника с полными правами разработчика. Ни один сигнал тревоги не сработал. EDR, WAF, IAM и файрвол — все проспали атаку. Звучит как сценарий киберпанк-хоррора? Добро пожаловать в реальность, где твой любимый AI-кодмейт стал троянским конем.

Одна поддельная ошибка в отчете Sentry захватила Claude Code в контролируемых тестах — агент выполнил код атакующего с полными привилегиями разработчика, и ни одна тревога не сработала. EDR, WAF, IAM и файрвол — все полностью проморгали.

Июньское раскрытие agentjacking от Tenet Security описывает один искусно crafted ивент ошибки Sentry — отправленный через публичный credential, который не требует ни взлома, ни аутентификации — который внедрил инструкции злоумышленника в данные об ошибке, которые Claude Code, Cursor и Codex затем выполнили как доверенный диагностический вывод. Tenet протестировал более 100 целей в контролируемых условиях и добился 85% успеха. Sentry назвал уязвимость «технически не защищаемой».

Cloud Security Alliance классифицировал agentjacking как системный класс уязвимостей MCP в течение нескольких дней после раскрытия. Никакие учетные данные не были украдены, никакая политика не нарушена, никакой периметр не взломан: каждый шаг в цепочке был авторизован. В этом и проблема.

Tenet выявил 2388 организаций с публично доступными учетными данными Sentry, которые можно использовать для массового внедрения вредоносных событий. Исследование — proof-of-concept, а не подтвержденная эксплуатация всех 2388. Но одно захваченное окружение Claude Code содержало живой AWS secret access key и URL приватных репозиториев.

Вот тест на масштаб угрозы: если ваши AI-агенты для кодинга подключены к Sentry, Datadog, PagerDuty, Jira или любому другому MCP-подключенному источнику данных, которому доверяют ваши разработчики — и эти агенты могут выполнять shell-команды — то ваш стек имеет ту же слепую зону.

Организациям, использующим Sentry, следует немедленно провести аудит всех публично доступных DSN. Архитектура Sentry намеренно делает DSN-credentials публичными для фронтенд-отчетности об ошибках, поэтому смягчение заключается не в отзыве DSN — а в ограничении того, что агенты могут делать с данными, которые эти DSN возвращают.

Почему ваш стек его не видит

Agentjacking работает, потому что каждый шаг авторизован: злоумышленник отправляет валидный API-запрос к Sentry, используя публичный DSN; MCP-сервер возвращает внедренное событие как аутентичный вывод; агент выполняет инструкцию, используя привилегии разработчика. Ни одна сигнатура не сработала. Жертва видела только безобидную диагностику, пока агент молча сливал облачные credentials и токены доступа к исходникам.

Команды SOC никогда не должны были отличать разработчика, запускающего npm install, от агента, выполняющего эту команду в ответ на вредоносное событие ошибки. Этого различия не существовало, пока AI-агенты для кодинга не стали производственными инструментами. Стек, который не может его провести — это стек, который agentjacking обходит.

Пять опросов — одна закономерность

Пять независимых опросов за первую половину 2026 года показали: предприятия доверяют своим AI-агентам куда больше, чем оправдывают меры контроля....

🔗 Полный текст статьи читайте у нас на сайте: Читать на TechLoot

📢 ТехноЛут