Sikkerhetsselskapet Tenet Security demonstrerte i juni 2026 at KI-kodingsagenter som Claude Code, Cursor og Codex lot seg kapre i 85 prosent av forsøkene. Angriperen plantet ondsinnet tekst i en Sentry-feilrapport, som agenten senere hentet inn for å feilsøke, og agenten kjørte deretter de skjulte instruksjonene i loggen med sine egne rettigheter.
Mekanismen utnytter en grunnleggende egenskap ved agentene: de skiller ikke mellom data og instruksjoner. Når en agent henter en feilmelding fra et observability-verktøy for å forstå hva som gikk galt, leser den angriperens skjulte kommando som en del av oppgaven, og kjører den. Det kan bety å lese hemmeligheter, endre kode eller kjøre kommandoer i utviklerens miljø.
Funnet er alvorlig nettopp på grunn av bredden i angrepsflaten. Sentry er bare ett eksempel: ifølge VentureBeat har verktøy som Datadog, PagerDuty og Jira den samme eksponeringen, fordi de alle mater tekst angripere kan påvirke, inn i agentens kontekst. Dette er en variant av prompt injection, men flyttet fra chat-vinduet til infrastrukturen agenten allerede er koblet til.
Hva bør du gjøre?
- Behandl alt innhold fra feillogger, issues og varslingsverktøy som upålitelig inndata, på linje med brukerinput.
- Begrens hva agenten kan gjøre uten godkjenning: ingen automatisk kjøring av kommandoer eller tilgang til hemmeligheter rett fra en feilkontekst.
- Krev menneskelig bekreftelse før agenten utfører handlinger utløst av data den hentet fra eksterne systemer.