开发者让AI编程助手"修复Sentry错误"。助手调取了Sentry事件,分析后按照上面的指令执行了命令。那些命令,是攻击者提前植入的代码。

30秒总结
找到公开DSN 注入Sentry事件 利用MCP信任机制 助手执行黑客代码 AWS·GitHub凭证被盗

2026年6月,安全公司Tenet Security披露了"代理劫持"(Agentjacking)攻击——一种利用AI编程助手MCP(模型上下文协议)集成的新型攻击手法。 对Claude CodeCursorCodex三款助手的测试中,漏洞利用成功率高达85%,已确认2,388个组织的凭证面临暴露风险。

最可怕的是:EDR、WAF、IAM、防火墙等所有传统安全工具,对这种攻击完全无法检测。

攻击是怎么运作的?

Sentry DSN(数据源名称)原本就是设计为在客户端JavaScript中公开的凭证。问题在于:知道这个DSN,任何人都可以向Sentry事件写入数据——不需要认证,只需一个POST请求。

Tenet Security仅通过Censys搜索和GitHub代码扫描,就发现了2,388个组织的有效DSN。其中71个来自Tranco百万大站——包括Fortune 500企业和云安全厂商。

2,388
DSN暴露的组织数量
85%
助手漏洞利用成功率
100+
生产环境代码执行确认次数

攻击分五个步骤进行。

  1. DSN探测 + 事件注入
    攻击者用公开DSN向Sentry发送一个POST请求,植入伪造的错误事件。无需认证。
  2. Markdown伪装
    注入的事件中包含伪造的"Resolution"解决步骤,格式与真实Sentry错误完全相同,无法区分。
  3. 助手通过MCP读取
    开发者让助手"修复Sentry错误",助手通过MCP获取事件。MCP响应被视为可信的系统输出处理。
  4. 执行黑客代码
    助手将攻击者的npx命令视为"诊断步骤",以开发者的系统权限执行。
  5. 凭证窃取
    执行的包收集环境变量、AWS密钥、GitHub Token、Kubernetes凭证等,发送至攻击者服务器。

研究团队特别指出:即使明确告知助手"忽略不可信指令",攻击依然成功。

为什么现有安全工具抓不住它?

Tenet将此攻击称为"Authorized Intent Chain(授权意图链)"链条中的每一步,在技术上都是完全合法的行为。传统安全工具是为检测"未授权行为"而设计的,而这个攻击中根本没有未授权行为。

安全工具面对普通攻击面对代理劫持
EDR检测恶意进程 → 拦截npx(正常命令) → 直接通过
WAF拦截恶意外部请求Sentry MCP API调用 → 直接通过
IAM / RBAC拒绝未授权访问以开发者权限运行 → 直接通过
VPN / 防火墙拦截外部IP访问内部助手执行 → 直接通过
Cloudflare检测机器人流量 → 拦截正常助手API请求 → 直接通过

Sentry于6月3日收到Tenet的报告并当即确认,但拒绝从根本上解决问题,称其在平台层面"技术上无法防御"。采取的措施仅为针对已知攻击载荷的字符串过滤,攻击路径本身依然敞开。

"MCP集成是软件供应链攻击的下一个前沿。"

— Cloud Security Alliance,2026年6月

现在就该检查的事项

Tenet的结论:"唯一能拦截这种攻击的地方,就是助手的运行时层。" 如果你的团队使用AI编程助手,今天就检查这五件事。

  1. 审计助手连接的MCP工具列表
    列出助手通过MCP连接的所有外部服务。不仅限于Sentry——任何接受匿名写入的服务都是潜在的注入入口。
  2. 检查Sentry DSN是否暴露
    在前端JS源码、GitHub仓库和.env文件中检查是否硬编码了Sentry DSN。在MCP集成环境下,公开凭证会带来不同的风险。
  3. 添加代码执行前的显式批准门控
    配置助手,要求在执行来自外部MCP工具响应的命令前进行明确确认。Claude Code可检查tool approval设置,Cursor需重新审视Auto Run模式。
  4. 定期轮换环境变量和凭证
    为开发环境的AWS密钥和GitHub Token设置定期轮换计划。即使攻击成功,缩短凭证有效期也能限制损失范围。
  5. 引入助手运行时监控
    追踪助手执行命令的来源。当MCP响应触发代码执行时,应收到告警。这是目前最有效的防御层。

CSA额外建议

在为AI助手赋予任何外部服务的查询权限之前,先确认该服务是否接受匿名写入。凡是支持匿名写入的服务,其MCP集成都可能被同样的代理劫持原理利用。

深入探索

A Fake Bug Report Hijacks Your AI Coding Agent Tenet Security官方技术分析——完整攻击结构、DSN扫描方法论与防御建议。 tenetsecurity.ai

CSA Research Note: Agentjacking MCP Sentry Injection Cloud Security Alliance独立分析。MCP供应链攻击向量分类与应对框架。 cloudsecurityalliance.org

Agentjacking: a fake bug report can hijack your AI coding agent The Next Web开发者视角分析。Authorised Intent Chain的含义与商业影响。 thenextweb.com

New Agentjacking Attack Hijacks AI Coding Agents to Execute Malicious Code GBHackers技术社区分析。攻击实现与检测失败机制。 gbhackers.com

New Agentjacking Attacks Could Hijack AI Coding Agents Infosecurity Magazine专家访谈。MCP集成安全治理指南。 infosecurity-magazine.com