Apa yang terjadi
Tenet Security (diungkapkan 12 Juni 2026) menunjukkan bahwa kredensial Data Source Name (DSN) publik write-only Sentry — yang tertanam dalam JavaScript situs web sesuai desain — dapat disalahgunakan oleh penyerang mana pun untuk POST laporan kesalahan palsu yang dirancang berisi instruksi markdown tersembunyi. Ketika pengembang meminta Claude Code, Cursor, atau Codex untuk 'memperbaiki masalah Sentry yang belum terselesaikan' melalui server MCP Sentry, agen mengambil acara yang terkontaminasi dan menjalankan perintah penyerang dengan hak istimewa sistem pengembang sendiri. Tidak ada autentikasi, tidak ada pelanggaran target, dan tidak ada pengiriman malware yang diperlukan. Tenet mengkonfirmasi tingkat keberhasilan eksploitasi 85% di seluruh agen yang diuji, mengidentifikasi 2.388 organisasi dengan DSN yang dapat disuntik, dan mengamati eksekusi kode yang dikonfirmasi pada target Fortune 500 dan penyedia cloud. Sentry menerapkan filter konten yang hanya memblokir string payload spesifik yang diuji; jalur injeksi DSN yang mendasar tetap utuh secara arsitektur.
Mengapa penting
Ini adalah kelas serangan agentic baru yang mengeksploitasi kepercayaan MCP implisit: agen coding AI tidak dapat membedakan data kesalahan yang sah dari instruksi yang disuntikkan penyerang, sehingga ia menjalankan perintah arbitrer dengan hak istimewa pengembang penuh — mengekstrapolasi variabel lingkungan, kunci AWS/cloud, kredensial Git, dan URL repositori pribadi. Setiap kontrol EDR, WAF, IAM, VPN, dan Cloudflare buta terhadap serangan karena semua tindakan berjalan di bawah sesi yang diotorisasi pengembang. Radius ledakan adalah organisasi mana pun yang pengembangnya menggunakan Claude Code, Cursor, atau Codex dengan integrasi MCP Sentry — Tenet mengkonfirmasi 2.388 organisasi tersebut hanya dalam data publik.
Vektor serangan
Penyerang POST acara kesalahan HTTP yang dirancang ke DSN Sentry publik target yang berisi instruksi markdown tersembunyi di bidang 'Resolusi' atau pesan. Ketika pengembang meminta agen coding AI mereka untuk menyelidiki kesalahan Sentry, server MCP Sentry mengembalikan acara yang terkontaminasi sebagai konteks tepercaya, dan agen menjalankan perintah yang tertanam di mesin pengembang.
Sistem yang terdampak
Agen coding AI Claude Code, Cursor, dan Codex dengan integrasi server MCP Sentry; organisasi mana pun yang menggunakan DSN Sentry dalam aplikasi yang menghadap publik
Mitigasi
Perlakukan semua output server MCP sebagai tidak tepercaya; nonaktifkan integrasi MCP Sentry atau sandbox pemanggilan alat agen di belakang persetujuan manusia. Putar ulang kredensial apa pun yang terpapar di lingkungan pengembang. Mitigasi Sentry saat ini (filter konten pada string payload spesifik) tidak menutup kerentanan struktural. Lihat: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors