Penjelasan teknis
Threat Labs Tenet Security mengungkapkan 'Agentjacking' pada 11 Juni 2026 — kelas serangan baru yang menyuntikkan event error yang dirancang ke dalam Sentry (platform pemantauan kinerja aplikasi) hanya menggunakan kredensial Data Source Name (DSN) yang terbuka untuk publik dan tertanam dalam JavaScript website mana pun. Ketika seorang developer meminta agent coding AI mereka (Claude Code, Cursor, Codex) untuk 'memperbaiki issue Sentry yang belum terselesaikan,' agent melakukan query ke Sentry melalui server Sentry MCP dan menerima payload yang disuntikkan penyerang, ditampilkan tidak dapat dibedakan dari panduan remediasi Sentry yang sah. Agent kemudian menjalankan perintah yang dikontrol penyerang dengan privilege lokal penuh developer — tanpa phishing, tanpa bypass autentikasi, tanpa kompromi infrastruktur target yang diperlukan.
Vektor serangan
Penyerang memperoleh Sentry DSN organisasi target dari kode sumber JavaScript publik; POSTs event error yang dirancang berisi instruksi markdown berbahaya ke endpoint ingest Sentry yang tidak terauthentikasi; event dikembalikan melalui MCP sebagai output sistem terpercaya; agent coding AI menjalankan payload (misalnya, paket npm berbahaya) tanpa interaksi pengguna. Serangan melewati EDR dan WAF karena semua traffic jaringan berwenang dan semua operasi file ditandatangani oleh proses developer.
Sistem yang terdampak
Claude Code, Cursor, dan OpenAI Codex ketika terintegrasi dengan Sentry melalui MCP. Tenet mengonfirmasi tingkat keberhasilan 85% di seluruh lebih dari 100 target di dunia nyata; 2.388 organisasi ditemukan dengan DSN publik yang dapat disuntikkan. Organisasi mana pun yang menggunakan agent coding AI yang terhubung ke Sentry melalui MCP terbuka terhadap paparan.
Mitigasi
Segera: (1) Audit semua integrasi server MCP untuk tools yang mengembalikan data eksternal/pihak ketiga dan nonaktifkan Sentry MCP hingga kontrol tersedia. (2) Terapkan approval gate human-in-the-loop sebelum agent menjalankan kode atau memasang paket. (3) Rotasi Sentry DSN dan pertimbangkan backend proxy auth untuk ingest MCP. Jangka menengah: Implementasikan pelabelan provenance respons tool MCP dan sandboxing agent yang melarang eksekusi kode dari data bersumber telemetri.