何が起きたか
Tenet Security(2026年6月12日開示)は、Sentry の公開書き込み専用データソース名(DSN)認証情報が、設計上、ウェブサイトの JavaScript に組み込まれており、任意の攻撃者によって悪用される可能性があることを実証しました。攻撃者は、隠れたマークダウン命令を含む細工されたエラーレポートを POST することができます。開発者が Sentry MCP サーバー経由で Claude Code、Cursor、または Codex に「未解決の Sentry 問題を修正する」よう依頼すると、エージェントは汚染されたイベントを取得し、開発者自身のシステム権限で攻撃者のコマンドを実行します。認証は不要であり、ターゲットへの侵害やマルウェア配信も必要ありません。Tenet は、テスト済みエージェント全体で 85% の悪用成功率を確認し、インジェクション可能な DSN を持つ 2,388 の組織を特定し、Fortune 500 および クラウドプロバイダーのターゲットでの確認済みコード実行を観察しました。Sentry は、テスト済みペイロード文字列のみをブロックするコンテンツフィルターをデプロイしました。基盤となる DSN インジェクションパスウェイはアーキテクチャ上そのままです。
なぜ重要か
これは、暗黙的な MCP 信頼を悪用する新規のエージェント型攻撃クラスです。AI コーディングエージェントは正当なエラーデータと攻撃者が注入した命令を区別できないため、開発者の完全な権限で任意のコマンドを実行します。これにより、環境変数、AWS/クラウドキー、Git 認証情報、およびプライベートリポジトリ URL を流出させます。全ての EDR、WAF、IAM、VPN、および Cloudflare コントロールは、すべてのアクションが開発者の認可されたセッションの下で実行されるため、この攻撃に対して盲目です。影響範囲は、Claude Code、Cursor、または Codex を Sentry MCP インテグレーションと共に使用する開発者を持つすべての組織です。Tenet は、公開データのみでそのような 2,388 の組織を確認しました。
攻撃経路
攻撃者は、「解決策」またはメッセージフィールドに隠れたマークダウン命令を含む細工された HTTP エラーイベントをターゲットの公開 Sentry DSN に POST します。開発者が AI コーディングエージェントに Sentry エラーを調査するよう依頼すると、Sentry MCP サーバーは汚染されたイベントを信頼できるコンテキストとして返し、エージェントは開発者のマシン上で埋め込まれたコマンドを実行します。
影響を受けるシステム
Sentry MCP サーバーインテグレーションを備えた Claude Code、Cursor、および Codex AI コーディングエージェント。公開向けアプリケーションで Sentry DSN を使用している任意の組織。
緩和策
すべての MCP サーバー出力を信頼できないものとして扱う。Sentry MCP インテグレーションを無効にするか、エージェントツール呼び出しをヒューマン承認の後ろでサンドボックス化する。開発者環境で公開された認証情報をすべてローテーションする。Sentry の現在の軽減策(特定のペイロード文字列への コンテンツフィルター)は、構造的な脆弱性を閉じません。参照: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors