Nowości
Fałszywy raport błędu przejął agentów kodujących AI w ataku Agentjacking
Posłuchaj tego artykułu

Badacze z Tenet Security pokazali, jak jedno spreparowane zgłoszenie błędu w Sentry potrafi zmusić Claude Code, Cursora i OpenAI Codex do wykonania złośliwego kodu na komputerze programisty. Podatnych okazało się ponad 2300 organizacji na całym świecie.
Spis treści
Zespół badaczy Tenet Security pokazał, że wystarczy jedno spreparowane zgłoszenie błędu w popularnej platformie monitorującej Sentry, by przejąć kontrolę nad agentami kodującymi AI i uruchomić na komputerze programisty dowolny złośliwy kod. Atak, nazwany Agentjacking, zadziałał w testach na Claude Code, Cursorze i OpenAI Codex, a podatnych kluczy dostępu znaleziono ponad 2300 w organizacjach na całym świecie.
Sentry to jedna z najpopularniejszych platform do monitorowania błędów aplikacji, z której korzysta ponad 200 tysięcy organizacji, w tym GitHub, Disney, Atlassian, a nawet sam Anthropic. Problem zaczyna się od tak zwanego publicznego klucza DSN - identyfikatora, który deweloperzy często zostawiają wprost w kodzie frontendowym strony, bo z założenia ma on służyć wyłącznie do wysyłania raportów o błędach.
Jak działa Agentjacking
Atakujący znajduje publiczny klucz DSN celu, po czym wysyła do Sentry spreparowane zgłoszenie błędu zawierające złośliwą, sformatowaną w markdown sekcję z rzekomą sugestią rozwiązania problemu. Gdy programista poprosi później swojego agenta AI o naprawienie zgłoszonego błędu, narzędzie MCP integrujące agenta z Sentry pobiera całą treść zgłoszenia i traktuje ją jako zaufaną instrukcję systemową, a nie dane wejściowe do analizy.
W efekcie agent wykonuje polecenie atakującego z pełnymi uprawnieniami programisty - instaluje kontrolowany przez napastnika pakiet npm, uruchamia dowolne komendy powłoki albo odczytuje pliki lokalne. Ponieważ każdy krok wygląda jak autoryzowane działanie użytkownika, systemy kontroli tożsamości i dostępu oraz narzędzia wykrywania zagrożeń na stacjach roboczych nie mają czego zaflagować.
Skala problemu
W kontrolowanych testach badacze potwierdzili wykonanie wstrzykniętego kodu przez ponad 100 różnych agentów, obejmujących Claude Code, Cursora, OpenAI Codex, agentów w potokach CI/CD oraz rozszerzenia do VS Code. Wśród zidentyfikowanych 2388 organizacji z podatnymi kluczami DSN znalazła się firma z listy Fortune 100 wyceniana na około 250 miliardów dolarów, a ofiary rozsiane były po ponad 30 krajach - od korporacji po niezależnych programistów.
Skutki udanego ataku obejmowały dostęp do zmiennych środowiskowych, kluczy AWS, tokenów GitHub, danych logowania SSH oraz adresów prywatnych repozytoriów. Wszystko to bez phishingu, włamania na serwer czy jakiejkolwiek interakcji użytkownika wykraczającej poza normalną pracę z agentem kodującym.
Wasza telemetria stała się teraz wektorem zdalnego wykonania kodu - badacze Tenet Security
Reakcja Sentry i branży
Sentry potwierdziło problem już 3 czerwca 2026 roku, ale odmówiło wprowadzenia poprawki u źródła, określając go jako technicznie niemożliwy do obrony. Firma ograniczyła się do wdrożenia filtra treści wychwytującego konkretne, znane już wzorce złośliwych ładunków, co nie rozwiązuje problemu w przypadku nowych wariantów ataku.
Tenet udostępnił bezpłatnie narzędzie o nazwie agent-jackstop - gotowe konfiguracje, które utwardzają Cursora i Claude Code przed tą klasą ataków. To już druga w ostatnich tygodniach głośna luka dotycząca granicy zaufania w asystentach kodujących AI, po opisywanej wcześniej luce GhostApproval, co sugeruje, że problem nieodróżniania przez agentów danych od instrukcji ma charakter systemowy, a nie jednostkowy błąd konkretnego narzędzia.
Co to oznacza dla programistów w Polsce
Dla polskich zespołów programistycznych korzystających z Claude Code, Cursora czy Codexa w codziennej pracy Agentjacking to sygnał, by traktować integracje MCP z zewnętrznymi usługami - nie tylko Sentry, ale każdym narzędziem, które agent odpytuje o dane - jako potencjalny wektor ataku. Publiczny klucz DSN w kodzie frontendowym, standardowa praktyka od lat, nagle staje się furtką do zdalnego wykonania kodu na maszynie deweloperskiej.
Rekomendowane kroki to ograniczenie uprawnień, z jakimi działają agenci kodujący podczas pracy z zewnętrznymi źródłami danych, ręczna weryfikacja sugestii naprawczych pochodzących z automatycznie pobranych zgłoszeń błędów oraz rozważenie rotacji kluczy DSN i wdrożenia dodatkowych filtrów po stronie własnej infrastruktury, skoro Sentry nie planuje poprawki systemowej.
Sprawa trafia w moment, gdy coraz więcej firm, w tym część chińskich gigantów technologicznych, ogranicza dostęp agentów AI do wrażliwych systemów w obawie przed podobnymi atakami. Można się spodziewać, że kolejne platformy telemetryczne i monitorujące będą musiały na nowo przemyśleć, jak oznaczają dane pochodzące od użytkowników zewnętrznych, zanim trafią one do kontekstu agenta AI.
Źródła: Agentjacking - coding agents with fake Sentry errors (tenetsecurity.ai), Fake Bug Report Hijacks AI Coding Agents at Scale (darkreading.com).


