Apa yang terjadi
Tenet Security mengungkapkan pada 12 Juni 2026, sebuah kelas serangan baru bernama 'Agentjacking' yang memanfaatkan model kepercayaan implisit Model Context Protocol. Penyerang membuat event kesalahan Sentry yang berisi muatan injeksi prompt dan mengirimkannya melalui kredensial write-only yang dapat ditemukan secara publik. Ketika asisten pengkodean AI menanyakan Sentry melalui MCP, mereka memperlakukan instruksi yang disuntikkan sebagai konteks sistem yang terpercaya dan menjalankannya dengan hak istimewa pengembang penuh.
Mengapa penting
Ini adalah kerentanan struktural dalam arsitektur MCP: setiap integrasi MCP kini merupakan permukaan serangan. Agen AI memperlakukan respons alat sebagai otoritatif tanpa verifikasi asal. Serangan ini memotong kontrol EDR, WAF, dan IAM sepenuhnya—tindakan berasal dari proses agen terpercaya itu sendiri. Tidak ada autentikasi yang diperlukan; hanya DSN publik yang diperlukan. 2.388 organisasi diidentifikasi sebagai terekspos.
Vektor serangan
Penyerang menemukan DSN Sentry publik dari JavaScript frontend target, menyuntikkan event kesalahan berformat Markdown berbahaya melalui endpoint ingest publik Sentry, agen pengkodean AI pengembang mengambil event melalui MCP, agen menjalankan kode yang dikontrol penyerang (unduhan paket npm, eksfilitrasi kredensial) dengan hak istimewa sistem penuh pengembang
Sistem yang terdampak
Claude Code, Cursor, OpenAI Codex (semua versi dengan integrasi Sentry MCP)
Mitigasi
Audit dan batasi eksposur DSN Sentry dalam kode menghadap klien; terapkan penyaringan konten pada event kesalahan Sentry; tambahkan validasi respons MCP dan sandboxing dalam agen AI; nonaktifkan integrasi Sentry MCP jika tidak digunakan