虚假错误报告劫持AI编程代理——且无任何防范

Tenet Security的研究人员揭示了一种针对AI编程代理的新型攻击方式。攻击者利用Sentry错误监控平台的公开DSN（数据源名称），通过注入精心构造的虚假错误报告，成功劫持了包括Claude Code、Cursor和Codex在内的主流AI编程助手。

攻击分为六个步骤：首先，攻击者通过查看网站JavaScript源码、Censys搜索或GitHub代码搜索找到目标的Sentry DSN。然后，他们向Sentry的接收端点发送伪造的错误事件，无需任何身份验证。第三步，在事件的消息和上下文键名中嵌入Markdown内容，使其在Sentry MCP服务器返回给AI代理时呈现为结构化的官方模板。第四步，当开发者要求AI代理“修复未解决的Sentry问题”时，代理查询Sentry并收到该注入事件。第五步，代理执行攻击者建议的npx命令，从npm公共仓库下载并运行恶意包。最后，该包探测环境变量、AWS凭证、Kubernetes令牌等敏感信息，并将其发送到攻击者的服务器。

这一攻击的独特之处在于，它不直接针对开发者，而是针对开发者信任的AI代理。无需钓鱼，攻击者通过开发者正常的Sentry错误排查工作流即可完成劫持。由于Sentry的DSN被设计为公开的，这一在AI代理时代之前安全的决策，现在变成了灾难性的入口。注入的Markdown内容与Sentry自身的MCP系统模板在视觉和结构上无法区分，使AI代理无法分辨真假。

研究人员在受控条件下对真实世界的目标进行了验证。通过被动侦察发现2388家组织拥有有效的可注入DSN，其中71家位列Tranco前100万。在验证中，超过100个AI代理实际执行了注入的命令，包括一家财富500强企业（市值超过2000亿美元）、一家20亿美元以上的托管基础设施提供商等。整个攻击链中没有任何恶意代码被检测到，因为每一步都是授权操作，传统安全措施如EDR、WAF、IAM、VPN等全部失效。

Tenet于2026年6月3日向Sentry披露了该问题。Sentry的团队当天回应，承认问题但拒绝从根源修复，称其“技术上无法防御”，并指出模型供应商会自行添加中间层。Sentry随后激活了全局内容过滤器来拦截特定的负载字符串，但并未解决根本原因。Tenet认为，如果平台所有者认为此类攻击“技术上无法防御”，那么唯一的防线只能落在AI代理运行时的决策环节。

这一发现标志着软件供应链攻击的新纪元。攻击者不再需要破坏软件包或欺骗开发者，只需向AI代理信任的数据源注入数据，即可通过观察平台建立命令与控制通道，让AI代理成为执行引擎。随着MCP工具集成越来越多，这类攻击面将呈指数级增长。安全领导者必须重新评估AI代理连接的工具、返回的数据类型以及防止注入数据触发代码执行的控制措施。间接提示注入的时代已经到来。