«Faren ligger i denne implisitte tilliten. Når en KI-agent spør Sentry om uløste feil, mottar den svaret og handler på det, akkurat som en utvikler ville gjort», skriver sikkerhetsselskapet Tenet Security i rapporten som beskriver angrepskategorien de kaller «agentjacking». Forskjellen er at agenten ikke kan vurdere om feilmeldingen kom fra en ekte krasj eller ble plantet av en angriper.
Angrepet utnytter en arkitekturfeil i Sentry, det populære verktøyet for feilsporing. En angriper trenger bare målets Sentry-DSN, en offentlig skrive-only-nøkkel som Sentry selv dokumenterer som trygg å legge i frontend-JavaScript. Angriperen sender en feilhendelse med nøye formatert markdown til Sentrys endepunkt; via Sentrys MCP-server gjengis dette identisk med verktøyets egne anbefalinger. Når utvikleren ber agenten «fikse uløste Sentry-feil», kjører agenten nyttelasten med utviklerens fulle rettigheter.
Tenet testet teknikken mot over 100 reelle mål og fikk 85 % treffrate på de mest brukte agentene, inkludert Claude Code, Cursor og Codex. De fant minst 2388 organisasjoner med eksponerte, injiserbare DSN-er. Angrepet omgår EDR og brannmurer fordi det ikke finnes noe ondsinnet å oppdage, og agentene kjørte nyttelasten selv når de ble bedt om å ignorere mistenkelige instruksjoner.
Hva bør du gjøre?
- Behandle MCP-verktøysvar som utrustet input. Ikke la agenter kjøre kommandoer fra Sentry-data uten menneskelig godkjenning.
- Begrens agentens rettigheter: kjør kodingsagenter uten direkte tilgang til CI/CD-nøkler, skytilgang og produksjonsrepoer.
- Gå gjennom hva agenten faktisk gjør før du lar den fikse feil automatisk fra eksterne kilder.