Pesquisadores documentam injeção de eventos falsos no Sentry que agentes como Claude Code e Cursor tratam como orientação legítima, com taxa de sucesso de 85% em testes controlados
| Componente | Agentes de codificação com IA integrados ao Sentry via servidor MCP (Model Context Protocol), incluindo assistentes como Claude Code e Cursor; ingestão de eventos do Sentry aceita payloads arbitrários de qualquer titular de DSN |
| Vetor | Descoberta de DSN público embutido em sites, envio de evento de erro fabricado ao endpoint de ingestão do Sentry com markdown formatado nos campos de mensagem e contexto, e posterior solicitação do desenvolvedor ao agente para corrigir issues do Sentry |
| Impacto | Execução de código arbitrário com privilégios do desenvolvedor na máquina local; possível exposição de variáveis de ambiente, credenciais Git, URLs de repositórios privados e identidades de desenvolvedores, sem phishing nem comprometimento prévio de servidores |
| Prioridade | Revisar exposição de DSNs injetáveis, restringir integrações MCP do Sentry em agentes de IA, validar manualmente resoluções sugeridas por eventos externos e auditar ambientes de desenvolvimento por execuções originadas de fluxos de correção automatizada |
| Artefatos | Eventos de erro injetados no Sentry com instruções disfarçadas de resolução legítima; DSN como credencial write-only publicamente encontrável; filtro global de conteúdo do Sentry que bloqueia apenas uma string de payload específica |
| Mitigação | Sentry reconheceu o problema e declarou que não é tecnicamente defensável; empresa ativou filtro global de conteúdo para uma string de payload conhecida, sem correção estrutural anunciada |
Pesquisadores da Tenet Security descreveram uma nova classe de ataque denominada Agentjacking, voltada a induzir agentes de codificação com inteligência artificial a executar código arbitrário nas estáções de trabalho de desenvolvedores. O vetor central combina a ingestão aberta de eventos do Sentry — plataforma open source de rastreamento de erros e monitoramento de desempenho — com a devolução desses dados por um servidor MCP (Model Context Protocol) que o agente trata como saída confiável do sistema.
A falha arquitetural situa-se na interseção entre dois comportamentos: qualquer pessoa com um Data Source Name (DSN) válido pode enviar payloads arbitrários ao endpoint de ingestão do Sentry, enquanto o servidor MCP do Sentry entrega o conteúdo recebido ao agente de IA como material diagnóstico legítimo. O agente não consegue distinguir de forma confiável um crash real de aplicação de um evento injetado por um atacante, o que abre caminho para execução de código quando o desenvolvedor pede ajuda para resolver um issue.
Em testes controlados, a Tenet Security relatou ter identificado pelo menos 2.388 organizações com DSNs válidos e injetáveis, tendo validado o cenário contra mais de cem organizações com taxa de sucesso de exploração de 85% em erros injetados, abrangendo alguns dos assistentes de codificação com IA mais utilizados. A Sentry reconheceu o problema, classificou-o como tecnicamente indefensável e informou ter ativado um filtro global de conteúdo que bloqueia uma string de payload específica, sem anunciar correção estrutural do desenho.
A cadeia começa com a localização do DSN da vítima, credencial write-only frequentemente embutida em páginas web e considerada pública por design. Com esse identificador, o atacante envia um evento de erro malicioso ao endpoint de ingestão do Sentry por meio de uma requisição POST, sem necessidade de acesso à infraestrutura interna da organização alvo.
O evento injetado carrega markdown cuidadosamente formatado no campo de mensagem e em nomes de chaves de contexto. Quando o servidor MCP do Sentry devolve o registro ao agente de codificação, o conteúdo é renderizado de forma estruturalmente idêntica ao template oficial do Sentry, incluindo instruções disfarçadas de resolução diagnóstica. Se o desenvolvedor solicitar ao agente que corrija issues não resolvidos do Sentry — ou formulação equivalente —, o agente consulta o Sentry via MCP, incorpora a orientação maliciosa como guia confiável e executa o código controlado pelo atacante com os privilégios completos do usuário na máquina local.
Os pesquisadores Ron Bobrov, Barak Sternberg e Nevo Poran enfatizam que o atacante nunca toca diretamente a infraestrutura da vítima: cada etapa subsequente é autorizada dentro do fluxo normal de trabalho do desenvolvedor. A abordagem contorna controles tradicionais como EDR, WAF, IAM, VPN, Cloudflare e firewalls, porque não há tráfego malicioso clássico a bloquear; as ações decorrem de integrações legítimas e de credenciais publicamente disponíveis.
O risco concentra-se em equipes que conectam agentes de IA a serviços externos via MCP e utilizam o Sentry como fonte operacional de diagnóstico. Assistants de codificação citados no estudo incluem Claude Code e Cursor, mas a lógica do ataque se aplica ao padrão arquitetural — confiança implícita em saídas MCP — mais do que a um produto isolado.
Organizações com DSNs expostos e injetáveis representam o universo imediato de exposição mapeado pela pesquisa. O impacto potencial abrange estáções de desenvolvimento onde o agente opera com privilégios elevados, incluindo acesso a segredos locais, credenciais de controle de versão e metadados de identidade do desenvolvedor.
- DSNs públicos embutidos em propriedades web que permitem ingestão de eventos arbitrários
- Fluxos em que o agente de IA consulta issues do Sentry e executa correções sugeridas automaticamente
- Ambientes de desenvolvimento com variáveis de ambiente, credenciais Git e URLs de repositórios privados acessíveis ao processo do agente
- Integrações MCP que tratam respostas do Sentry como orientação de sistema confiável, sem validação de proveniência do evento
A detecção exige correlacionar atividade de ingestão no Sentry com comportamento posterior do agente de IA e do shell local do desenvolvedor. Como a cadeia se apoia em operações autorizadas, indicadores devem focar em anomalias de conteúdo, timing e execução originada de fluxos de correção automatizada, em vez de assinaturas de malware tradicionais.
Equipes de segurança devem mapear onde DSNs aparecem publicamente — repositórios, sites, artefatos de build — e monitorar se eventos incomuns precedem sessões de agente que consultam o Sentry. A telemetria de endpoint pode revelar processos filhos ou interpretadores invocados imediatamente após interações MCP com issues recém-criados ou com estrutura de mensagem atípica.
- Inventário de DSNs expostos e teste de capacidade de ingestão não autorizada com eventos de prova controlada
- Correlação entre criação de issues no Sentry e execuções locais disparadas por agentes de codificação com IA
- Análise de campos de mensagem e contexto com markdown ou chaves que imitam templates de resolução do Sentry
- Revisão de logs de agente e MCP para comandos ou ações sugeridas por fontes externas sem validação humana prévia
- Monitoramento de acesso a variáveis de ambiente e credenciais Git logo após consultas automatizadas a plataformas de observabilidade
A resposta organizacional precisa tratar agentes de IA como nova superfície de ataque, não apenas como ferramenta interna. Enquanto a Sentry manteve a posição de que o cenário não é tecnicamente defensível no desenho atual e limitou-se a um filtro global para uma string de payload específica, equipes não devem depender exclusivamente desse controle pontual para proteger ambientes de desenvolvimento.
A mitigação efetiva combina redução de exposição de DSNs, endurecimento de fluxos MCP e governança sobre o que um agente pode executar automaticamente a partir de dados de terceiros. Desenvolvedores que solicitam correção de issues devem exigir validação humana antes de qualquer execução derivada de eventos externos, especialmente quando a origem do erro não foi observada diretamente na aplicação.
- Remover ou rotacionar DSNs publicamente visíveis e restringir ingestão apenas a origens conhecidas quando suportado pela operação
- Desabilitar ou limitar integrações MCP do Sentry em agentes de IA até existir validação robusta de proveniência de eventos
- Impor revisão manual obrigatória para resoluções sugeridas por plataformas externas antes de execução local de código
- Aplicar princípio de menor privilégio aos processos de agentes de codificação e isolar segredos de desenvolvimento do escopo automático
- Incluir cenários de injeção via observabilidade e MCP em exercícios de threat modeling para pipelines de desenvolvimento assistido por IA
0 Comentários