Nowości
Fałszywy raport błędu w Sentry potrafi przejąć agentów kodujących Claude Code, Cursor i Codex
Posłuchaj tego artykułu

Badacze z Tenet Security wykazali, że jeden spreparowany zgłoszenie błędu w Sentry wystarczy, by przejąć kontrolę nad agentami kodującymi na komputerze programisty. W testach atak zwany agentjackingiem działał w 85 procentach przypadków, a podobnej podatności mogą być narażone też Datadog, PagerDuty i Jira.
Spis treści
Jedno fałszywe zgłoszenie błędu wystarczy, żeby przejąć kontrolę nad agentem kodującym pracującym na komputerze programisty i uruchomić na nim dowolny kod atakującego. Tak działa technika nazwana agentjackingiem, którą opisali badacze z firmy Tenet Security, testując ją na popularnych narzędziach Claude Code, Cursor i Codex.
Mechanizm ataku opiera się na słabości, która od dawna niepokoi badaczy bezpieczeństwa zajmujących się agentami AI - te systemy nie odróżniają treści, którą tylko odczytują, od instrukcji, które mają wykonać. Sentry, narzędzie do śledzenia błędów używane przez ponad 200 tysięcy organizacji na świecie, stało się w tym przypadku bramą wejściową do środowisk deweloperskich.
Jak działa agentjacking
Atakujący nie musi łamać żadnego zabezpieczenia ani zdobywać hasła. Wystarczy publicznie dostępny klucz DSN Sentry, często jawnie umieszczony w kodzie aplikacji, żeby wysłać do systemu spreparowane zgłoszenie błędu. Fałszywy raport zawiera sekcję opisującą rzekome rozwiązanie problemu, sformatowaną tak, by wyglądała jak oficjalna wskazówka Sentry, choć w rzeczywistości ukrywa polecenia do wykonania.
Kiedy programista prosi swojego agenta kodującego o naprawienie zgłoszonych błędów, agent odczytuje raport przez integrację Model Context Protocol i traktuje ukryte instrukcje jak legalną wskazówkę do działania. Uruchamia wskazany kod z uprawnieniami samego programisty, co oznacza dostęp do wszystkiego, do czego dostęp ma deweloper na swojej maszynie.
Jedynym miejscem, które może to zatrzymać, jest moment, w którym agent decyduje się działać - Tenet Security
Dlaczego zabezpieczenia tego nie łapią
Najbardziej niepokojącym elementem opisywanym przez badaczy jest to, że cały łańcuch zdarzeń wygląda z punktu widzenia systemów bezpieczeństwa na w pełni autoryzowany. Firewalle, systemy IAM, rozwiązania klasy EDR i VPN nie mają czego zgłosić, bo agent działa w ramach uprawnień, które faktycznie posiada. Nawet instrukcje w promptach nakazujące ignorowanie niezaufanych danych nie powstrzymały agentów przed wykonaniem spreparowanego kodu w testach Tenet Security.
Skala potencjalnych szkód sięga od pojedynczych deweloperów po duże organizacje. Badacze wskazują, że wśród narażonych znalazła się firma wyceniana na 250 miliardów dolarów oraz startup działający w modelu vibe-coding, generujący 500 milionów dolarów przychodu rocznie. Skradzione mogą zostać zmienne środowiskowe, klucze dostępu do AWS, tokeny GitHub, dane logowania do gita oraz adresy prywatnych repozytoriów, co otwiera drogę do kompromitacji całej infrastruktury chmurowej firmy.
Reakcja Sentry i skala problemu
Zgłoszenie podatności trafiło do Sentry w czerwcu. Firma odpowiedziała, że problem jest, jak to ujęła, technicznie nie do obronienia u źródła, i zamiast naprawić fundamentalną przyczynę, dodała jedynie filtr blokujący jeden konkretny ciąg znaków użyty w ataku demonstracyjnym. Cloud Security Alliance uznała agentjacking za systemową klasę podatności dotyczącą całego ekosystemu Model Context Protocol, nie tylko pojedynczej integracji z Sentry.
Dla zespołów programistycznych w Polsce, które coraz częściej korzystają z agentów kodujących w codziennej pracy, sprawa jest sygnałem, że narzędzia takie jak Sentry, Datadog czy Jira, traktowane dotąd jako zaufane źródło informacji o błędach, trzeba zacząć traktować jak potencjalny wektor ataku. Odłączenie agenta od bezpośredniego wykonywania poleceń pochodzących z zewnętrznych źródeł danych, bez wyraźnej autoryzacji człowieka, staje się praktycznym wymogiem bezpieczeństwa, a nie tylko teoretycznym zaleceniem.
Źródła: The Next Web (thenextweb.com), VentureBeat (venturebeat.com), Dark Reading (darkreading.com)

