무슨 일이 있었나
Tenet Security (2026년 6월 12일 공개)는 Sentry의 공개 쓰기 전용 데이터 소스 이름(DSN) 자격증명(설계상 웹사이트 JavaScript에 내장됨)이 모든 공격자에 의해 악용되어 숨겨진 마크다운 명령어를 포함한 조작된 가짜 오류 보고서를 POST할 수 있음을 입증했다. 개발자가 Sentry MCP 서버를 통해 Claude Code, Cursor 또는 Codex에 '미해결 Sentry 이슈 수정'을 요청할 때, 에이전트는 독성 이벤트를 검색하고 공격자의 명령을 개발자의 시스템 권한으로 실행한다. 인증 불필요, 대상 침해 없음, 맬웨어 전달 불필요. Tenet은 테스트된 에이전트에서 85% 악용 성공률, 주입 가능한 DSN이 있는 2,388개 조직 확인, Fortune 500 및 클라우드 공급자 대상에서 확인된 코드 실행을 관찰했다. Sentry는 테스트된 특정 페이로드 문자열만 차단하는 콘텐츠 필터를 배포했으며, 기본 DSN 주입 경로는 구조적으로 그대로 남아있다.
왜 중요한가
이는 암묵적 MCP 신뢰를 악용하는 신규 에이전틱 공격 유형이다: AI 코딩 에이전트는 합법적인 오류 데이터를 공격자 주입 명령어와 구별할 수 없으므로 개발자 권한으로 임의의 명령을 실행한다 — 환경 변수, AWS/클라우드 키, Git 자격증명 및 비공개 리포지토리 URL을 외탈출할 수 있다. 모든 EDR, WAF, IAM, VPN 및 Cloudflare 제어는 모든 작업이 개발자의 승인된 세션 하에서 실행되므로 공격에 눈멀어 있다. 영향 범위는 Claude Code, Cursor 또는 Codex와 Sentry MCP 통합을 사용하는 개발자를 보유한 모든 조직이다 — Tenet은 공개 데이터만으로도 2,388개의 이러한 조직을 확인했다.
공격 경로
공격자는 '해결' 또는 메시지 필드에 숨겨진 마크다운 명령어를 포함한 조작된 HTTP 오류 이벤트를 대상의 공개 Sentry DSN에 POST한다. 개발자가 AI 코딩 에이전트에 Sentry 오류 조사를 요청할 때, Sentry MCP 서버는 독성 이벤트를 신뢰된 컨텍스트로 반환하며, 에이전트는 개발자 머신에서 포함된 명령을 실행한다.
영향받는 시스템
Sentry MCP 서버 통합이 있는 Claude Code, Cursor 및 Codex AI 코딩 에이전트; 공개 애플리케이션에서 Sentry DSN을 사용하는 모든 조직
완화 방안
모든 MCP 서버 출력을 신뢰할 수 없는 것으로 취급하라; Sentry MCP 통합을 비활성화하거나 에이전트 도구 호출을 인간 승인 뒤에 샌드박스 처리하라. 개발자 환경에서 노출된 자격증명을 회전하라. Sentry의 현재 완화(특정 페이로드 문자열에 대한 콘텐츠 필터)는 구조적 취약점을 해결하지 못한다. 참고: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors