事件经过
Tenet Security于2026年6月12日披露了一种名为"Agentjacking"的新型攻击类别,该攻击利用了模型上下文协议的隐式信任模型。攻击者精心制作包含提示注入有效负载的Sentry错误事件,并通过可公开发现的仅写凭证传送这些事件。当AI编码助手通过MCP查询Sentry时,它们将注入的指令视为受信任的系统上下文,并以完整的开发者权限执行这些指令。
影响分析
这是MCP架构中的一个结构性漏洞:每个MCP集成现在都是一个攻击面。AI代理将工具响应视为权威性的,而不进行来源验证。该攻击完全绕过EDR、WAF和IAM控制——这些操作源自受信任的代理进程本身。不需要身份验证;仅需要一个公共DSN。已识别2,388个组织暴露在外。
攻击途径
攻击者从目标前端JavaScript发现公开的Sentry DSN,通过Sentry的公开摄取端点注入恶意的Markdown格式化错误事件,开发者的AI编码代理通过MCP检索事件,代理以开发者的完整系统权限执行攻击者控制的代码(npm包下载、凭证窃取)
受影响系统
Claude Code、Cursor、OpenAI Codex(所有具有Sentry MCP集成的版本)
缓解措施
审计并限制客户端代码中Sentry DSN的暴露;在Sentry错误事件上实现内容过滤;在AI代理中添加MCP响应验证和沙箱化;如果未使用,禁用Sentry MCP集成