虛假錯誤報告劫持AI編程代理——且無任何防範

Tenet Security的研究人員揭示了一種針對AI編程代理的新型攻擊方式。攻擊者利用Sentry錯誤監控平台的公開DSN（數據源名稱），通過注入精心構造的虛假錯誤報告，成功劫持了包括Claude Code、Cursor和Codex在內的主流AI編程助手。

攻擊分為六個步驟：首先，攻擊者通過查看網站JavaScript源碼、Censys搜索或GitHub代碼搜索找到目標的Sentry DSN。然後，他們向Sentry的接收端點發送偽造的錯誤事件，無需任何身份驗證。第三步，在事件的消息和上下文鍵名中嵌入Markdown內容，使其在Sentry MCP服務器返回給AI代理時呈現為結構化的官方模板。第四步，當開發者要求AI代理“修復未解決的Sentry問題”時，代理查詢Sentry並收到該注入事件。第五步，代理執行攻擊者建議的npx命令，從npm公共倉庫下載並運行惡意包。最後，該包探測環境變量、AWS憑證、Kubernetes令牌等敏感信息，並將其發送到攻擊者的服務器。

這一攻擊的獨特之處在於，它不直接針對開發者，而是針對開發者信任的AI代理。無需釣魚，攻擊者通過開發者正常的Sentry錯誤排查工作流即可完成劫持。由於Sentry的DSN被設計為公開的，這一在AI代理時代之前安全的決策，現在變成了災難性的入口。注入的Markdown內容與Sentry自身的MCP系統模板在視覺和結構上無法區分，使AI代理無法分辨真假。

研究人員在受控條件下對真實世界的目標進行了驗證。通過被動偵察發現2388家組織擁有有效的可注入DSN，其中71家位列Tranco前100萬。在驗證中，超過100個AI代理實際執行了注入的命令，包括一家財富500強企業（市值超過2000億美元）、一家20億美元以上的託管基礎設施提供商等。整個攻擊鏈中沒有任何惡意代碼被檢測到，因為每一步都是授權操作，傳統安全措施如EDR、WAF、IAM、VPN等全部失效。

Tenet於2026年6月3日向Sentry披露了該問題。Sentry的團隊當天回應，承認問題但拒絕從根源修復，稱其“技術上無法防禦”，並指出模型供應商會自行添加中間層。Sentry隨後激活了全局內容過濾器來攔截特定的負載字符串，但並未解決根本原因。Tenet認為，如果平台所有者認為此類攻擊“技術上無法防禦”，那麼唯一的防線只能落在AI代理運行時的決策環節。

這一發現標誌着軟件供應鏈攻擊的新紀元。攻擊者不再需要破壞軟件包或欺騙開發者，只需向AI代理信任的數據源注入數據，即可通過觀察平台建立命令與控制通道，讓AI代理成為執行引擎。隨着MCP工具集成越來越多，這類攻擊面將呈指數級增長。安全領導者必須重新評估AI代理連接的工具、返回的數據類型以及防止注入數據觸發代碼執行的控制措施。間接提示注入的時代已經到來。