Cercetătorii de la Tenet Security au descris pe 13 iunie 2026 o clasă complet nouă de atac cibernetic pe care au denumit-o Agentjacking. Ținta nu este serverul, nu este baza de date și nu este utilizatorul final — ci agentul tău AI de programare. Claude Code, Cursor, Codex și orice alt agent care folosește Model Context Protocol (MCP) este potențial vulnerabil.
Ce este MCP și de ce contează
Model Context Protocol este un standard deschis care permite agenților AI să interacționeze cu unelte externe — browsere, terminale, sisteme de monitorizare, API-uri. Prin MCP, un agent poate citi erori din Sentry, poate rula comenzi în terminal, poate accesa fișiere. Exact această putere devine arma atacatorului.
Cum funcționează Agentjacking pas cu pas
| Pas | Acțiune atacator | Ce se întâmplă |
|---|---|---|
| 1 | Obține DSN-ul Sentry | Găsit în JS din browser sau GitHub search — credential public, write-only |
| 2 | Injectează payload malițios | Trimite un „raport de eroare" fals la Sentry cu instrucțiuni pentru agent |
| 3 | Agentul preia „eroarea" | Sentry MCP returnează datele injectate ca output de sistem, „de încredere" |
| 4 | Execuție cod malițios | Agentul execută comanda cu privilegiile complete ale developerului |
Elementul-cheie: atacatorul nu are nevoie de acces la infrastructura ta. Are nevoie doar de DSN-ul Sentry — un identificator public, disponibil în orice site care folosește Sentry pentru monitorizarea erorilor. Poate fi extras din codul JavaScript livrat browserului sau căutat direct pe GitHub.
Agenții afectați — și de ce nu se apără singuri
Tenet Security a testat atacul pe Claude Code, Cursor și Codex. Toți trei au executat payload-ul atacatorului chiar și atunci când prompt-ul de sistem conținea instrucțiuni explicite să ignore datele din surse neîncredere. Motivul: agentul nu poate distinge între un raport de eroare legitim și unul injectat — ambele vin prin același canal MCP, marcat ca „trusted system output".
Acesta este și motivul pentru care atacul ocolește complet soluțiile clasice de securitate:
- EDR (Endpoint Detection & Response) — nu vede nimic suspect, agentul execută acțiuni „autorizate"
- WAF (Web Application Firewall) — traficul trece prin Sentry, domeniu de încredere
- IAM (Identity & Access Management) — agentul folosește credențialele tale, totul e „legitim"
- VPN și Cloudflare — irelevante, atacul e logic, nu de rețea
Răspunsul Sentry: „nu e defensibil la nivel de platformă"
Tenet a dezvăluit vulnerabilitatea lui Sentry pe 3 iunie 2026. Sentry a confirmat recepția în aceeași zi, dar a refuzat să o corecteze la nivel de platformă, argumentând că arhitectura DSN (write-only, public prin design) nu poate fi schimbată fără a rupe funcționalitatea de bază. Practic, Sentry a spus că problema nu este a lor.
Această poziție lasă milioane de proiecte care folosesc Sentry + agenți AI expuse fără o soluție de sistem. Responsabilitatea revine developerilor și echipelor de securitate.
Cum te protejezi
| Măsură | Implementare | Prioritate |
|---|---|---|
| Auditează DSN-urile expuse | Verifică dacă DSN-ul Sentry apare în JS public sau repo-uri GitHub | URGENT |
| Limitează permisiunile MCP | Acordă agenților acces minim necesar — nu full shell access | URGENT |
| Nu auto-executa din monitoring | Agenții să propună acțiuni, nu să le execute direct din date Sentry | RIDICAT |
| Sandbox pentru agenți | Rulează agenți AI în medii izolate (container, VM) fără acces la prod | RIDICAT |
| Rotește DSN-urile periodic | Regenerează DSN-urile Sentry regulat, mai ales după incidente | MEDIU |
De ce Agentjacking e diferit de orice atac anterior
Atacurile clasice de tip prompt injection vizau modelul direct — injectai instrucțiuni malițioase în input-ul utilizatorului. Agentjacking operează la un nivel mai profund: atacă infrastructura de date pe care agentul o consideră de încredere prin design. Nu există un „fix" simplu în sistemul de prompt-uri, pentru că problema este arhitecturală.
Pe măsură ce agenții AI devin mai autonomi și mai integrați în pipeline-urile de dezvoltare software, suprafața de atac prin MCP va crește exponențial. Agentjacking este probabil primul atac dintr-o clasă care va deveni una dintre preocupările principale de securitate ale anilor următori.
Fii primul care comentează acest articol!