何が起きたか
Tenet Security が 2026 年 6 月 12 日に、Model Context Protocol の暗黙的信頼モデルを悪用する「Agentjacking」と呼ばれる新しい攻撃クラスを開示しました。攻撃者は prompt injection ペイロードを含む Sentry エラーイベントを作成し、公開されている書き込み専用認証情報を通じて配信します。AI コーディングアシスタントが MCP 経由で Sentry をクエリすると、注入された命令を信頼できるシステムコンテキストとして扱い、開発者の完全な権限で実行されます。
なぜ重要か
これは MCP アーキテクチャにおける構造的な脆弱性です。すべての MCP 統合が現在、攻撃面になっています。AI エージェントはツール応答を出所検証なしに信頼できるものとして扱います。この攻撃は EDR、WAF、および IAM 制御を完全にバイパスします。アクション自体は信頼できるエージェントプロセスから発生しています。認証は不要で、公開 DSN のみが必要です。2,388 の組織が公開されているものとして識別されました。
攻撃経路
攻撃者はターゲットのフロントエンド JavaScript から公開 Sentry DSN を発見し、Sentry の公開 ingest エンドポイント経由で悪意のある Markdown 形式のエラーイベントを注入し、開発者の AI コーディングエージェントが MCP 経由でイベントを取得し、エージェントが攻撃者制御のコード (npm パッケージダウンロード、認証情報の流出) を開発者の完全なシステム権限で実行します
影響を受けるシステム
Claude Code、Cursor、OpenAI Codex (Sentry MCP 統合を搭載するすべてのバージョン)
緩和策
クライアント向けコード内の Sentry DSN 公開を監査および制限し、Sentry エラーイベントにコンテンツフィルタリングを実装し、AI エージェントに MCP レスポンス検証およびサンドボックスを追加し、未使用の場合は Sentry MCP 統合を無効にします