Uma chave pública do Sentry basta para comprometer Claude Code, Cursor e Codex

23 de junho de 2026

Resumo

Agentjacking é um ataque em que um Sentry DSN exposto publicamente, uma credencial de apenas escrita que a própria Sentry documenta como segura para embutir em JavaScript de frontend, permite ao atacante publicar um evento de erro forjado. Nos campos de contexto em markdown, o evento renderiza uma falsa seção de correção com um comando `npx`.

Quando um desenvolvedor pede ao agente para limpar o backlog do Sentry, o agente puxa o evento injetado via MCP, lê a correção fabricada como se fosse orientação confiável e executa o comando com os privilégios do próprio desenvolvedor, alcançando chaves da AWS, tokens do GitHub e credenciais de git. A carga útil funciona mesmo quando system prompts e skills instruem os agentes a ignorar dados não confiáveis e, como cada etapa é autorizada, a "Authorized Intent Chain" da Tenet contorna EDR, WAF, IAM, VPN e firewall. Como os DSNs podem ser encontrados por consultas no Censys e por GitHub code search, defensores devem tratar toda integração MCP como uma dependência de terceiro validada e bloquear comandos iniciados por agentes na camada de runtime, em vez de depender apenas de defesas de prompt ou de rede.

Aprofundamento CEVIU

Aprofundamento

Agentjacking não é um ataque de exploração tradicional, mas sim uma falha de confiança cega: um agente de IA executa comandos porque foi treinado para acreditar que dados vindos de serviços confiáveis, como o Sentry, são legítimos. O DSN do Sentry, documentado como seguro para uso em frontend, é apenas uma credencial de escrita, sem autenticação. Isso funcionou por anos porque humanos ignoravam logs de erro como fonte de instruções. Agora, agentes como Claude Code, Cursor e Codex os lêem como orientações, e o markdown injetado se torna um comando executável. A carga útil não precisa de malware: basta um evento de erro com um bloco de código npx que o agente interpreta como correção válida.

Ao invés de quebrar permissões, o ataque usa as permissões já existentes. O agente tem acesso ao ambiente do desenvolvedor, às variáveis de ambiente, aos tokens do GitHub e às chaves da AWS. Cada passo é autorizado: o Sentry aceita o evento, o MCP entrega o contexto, o agente executa o comando. Firewalls, EDR e WAF não veem nada suspeito porque nada foi bloqueado. O problema não está no código do agente, mas na arquitetura de confiança entre serviços externos e modelos de IA. Isso transforma a telemetria de erro em superfície de ataque.

Por que isso importa

Esse ataque redefine o que significa uma dependência de terceiro. Até agora, equipes de segurança avaliavam bibliotecas npm, APIs e SDKs. Agora, qualquer integração MCP, Sentry, Datadog, New Relic, até logs de CI/CD, pode ser um vetor de execução remota. O que antes era considerado 'dados de monitoramento' passa a ser 'código potencialmente executável'. Empresas que usam agentes de código em produção, mesmo em ambientes isolados como WSL, CI pipelines ou VPNs corporativas, estão expostas. A resposta do Sentry de não corrigir o DSN e sugerir que as plataformas de IA bloqueiem o conteúdo é insuficiente: modelos de IA não são confiáveis para filtrar instruções maliciosas em dados de entrada. A única defesa viável é bloquear a execução de comandos por agentes em runtime, tratando cada MCP como uma dependência não confiável até que seja validada.

Linha do tempo

2026-06-03
Tenet Security divulga o ataque agentjacking ao Sentry
2026-06-17
Tenet publica detalhes técnicos do ataque e confirma execução em Claude Code, Cursor e Codex
2026-06-23
CEVIU News publica análise aprofundada sobre agentjacking e sua implicação para a segurança de agentes de IA em ambientes corporativos

Perguntas frequentes

O Sentry vai corrigir essa vulnerabilidade?

Não. O Sentry classificou o ataque como 'tecnicamente não defensável' e recusou mudar o comportamento do DSN. Eles lançaram um filtro global para bloquear o comando específico usado no PoC, mas não fecham a brecha. Qualquer outro comando em markdown, com outro npx ou script, ainda funcionaria. A responsabilidade foi transferida para os fornecedores de agentes e as equipes de segurança que os usam.

Meu agente de IA já tem configurações para ignorar dados não confiáveis. Isso me protege?

Não. A Tenet testou exatamente isso. Agentes como Claude Code e Cursor executaram os comandos mesmo com system prompts que instruíam a ignorar dados suspeitos. Modelos atuais não conseguem distinguir entre uma orientação legítima e uma falsa quando ambas vêm de um serviço considerado confiável. A confiança é codificada no comportamento do modelo, não nas instruções de prompt.

Como posso me proteger agora?

Bloqueie a execução de comandos por agentes de código em runtime. Não permita que eles executem npx, pip, brew ou qualquer comando shell, mesmo que venha de um serviço como Sentry. Trate cada integração MCP como uma dependência de terceiro: valide o que ela envia, limite o que ela pode fazer. Use ferramentas como agent-jackstop, abertas pela Tenet, para bloquear essas entradas no Cursor e Claude Code. Monitore variáveis de ambiente e tokens em CI/CD com regras de acesso restrito.

Isso afeta só o Sentry?

Não. Qualquer serviço que envie dados estruturados (como logs, métricas ou eventos) para agentes de IA via MCP pode ser explorado da mesma forma. Datadog, New Relic, Logtail, até logs de GitHub Actions ou Jenkins, se forem consumidos por agentes sem validação, são vetores potenciais. O problema não é o Sentry. É a arquitetura de confiança cega entre agentes e serviços externos.

Fontes

thenewstack.iofonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação