「Agentjacking」と名付けられた深刻な攻撃手法が明らかになりました。この手法は、広く普及しているAIコーディングアシスタントを悪意あるコードの実行基盤として悪用するものです。
Tenet SecurityのThreat Labsがこの脆弱性を発見しました。調査により、Claude CodeやCursorといったAIコーディングエージェントが外部ツールの出力を暗黙的に信頼している実態が浮き彫りになりました。
攻撃者はSentryのイベント収集機能とModel Context Protocol(MCP)の接点を悪用することで、従来の認証回避・フィッシング・サーバー侵害といった手法を一切使わずに、開発者のマシン上でリモートコード実行を達成できます。
開発者がデバッグ作業をAIエージェントに委ねる機会が増えるにつれ、攻撃者はトラブルシューティングに使われるテレメトリツールそのものを汚染し、外部から注入したデータを内部コード実行へとつなぐ直接的な経路を作り出しています。
この攻撃が悪用するのは、Sentryのデータソース名(DSN)です。DSNはフロントエンドのJavaScriptに埋め込まれる設計上、公開されているのが通常です。有効なDSNさえあれば、誰でもSentryの公開インジェストエンドポイントに細工したエラーイベントを送り込めます。
Tenet Securityの研究者は、エラーメッセージやコンテキストキーに巧妙に整形されたMarkdownを注入することで、AIエージェントがデータを取得した際の表示内容を操作できることを発見しました。
開発者がAIアシスタントに未解決のSentryエラーの調査を依頼すると、エージェントはSentry MCPサーバー経由で注入済みのペイロードを取得します。
悪意あるMarkdownは、架空の解決策セクションを含む正規のSentry修正ガイダンスを視覚的・構造的に模倣しているため、AIエージェントはそれを信頼できるシステム出力と区別できません。
プロンプトレイヤーの防御は今回の手法では完全に機能せず、システムプロンプトで信頼できないデータを無視するよう明示的に指示されていても、エージェントはペイロードを実行してしまうとTenetは指摘しています。
この攻撃でTenetが「Authorized Intent Chain(認可済み意図チェーン)」と呼ぶ概念が導入されます。各ステップが正規のワークフローの一部に見えるため、ファイアウォールやエンドポイント検出といった従来のセキュリティ制御を回避できます。
攻撃は偵察から始まる単純な手順で進行します。まず攻撃者は公開リポジトリを受動的にスキャンし、ターゲットの公開Sentry DSNを入手します。
次に、悪意あるパッケージコマンドを含む細工したエラーイベントをSentryのインジェストAPIに送信します。開発者がAIアシスタントにSentryエラーのデバッグを依頼すると、エージェントは汚染されたテレメトリデータを取得します。
偽装された診断手順に従い、エージェントは開発者のローカル権限で攻撃者が制御するnpmパッケージを自動的に実行します。
最終的にこのペイロードはローカルの設定ファイルを探索し、AWSキー・環境変数・Git認証情報を収集して密かに外部へ送信します。
脅威の実証として、Tenet Securityは制御された調査キャンペーンを実施し、DSNが露出している2,388の組織を特定しました。本番システムへのテストでは、主要なコーディングエージェントにおいて85%という高い攻撃成功率が確認されました。
研究チームは100件を超えるエージェント実行の成功事例を確認しており、個人開発者からFortune 500企業まで幅広い対象に被害が及んでいます。被害を受けた開発者はいずれも無害な診断出力しか目にしておらず、クラウドインフラのトークンが窃取されていることに全く気づいていませんでした。
Tenetはこの調査結果を2026年6月3日にSentryへ報告しました。Sentryは問題を認識したものの、経営陣は根本的な修正の実装を断り、この攻撃クラスをプラットフォームレベルでは「技術的に防御不可能」と表現しました。
代わりに、特定のペイロード文字列に対するグローバルなコンテンツフィルターの導入を選択しました。Agentjackingは、MCPインテグレーションを通じてAIエージェントのエコシステムが拡大する中、オブザーバビリティプラットフォームが指揮・制御チャネルとして武器化される可能性を示しており、エージェントのランタイムセキュリティが絶対的な必要条件であることを証明しています。
翻訳元: https://cyberpress.org/agentjacking-attack-ai-coding-agents/
