虛假錯誤報告劫持AI程式設計代理——且無任何防範

Tenet Security的研究人員揭示了一種針對AI程式設計代理的新型攻擊方式。攻擊者利用Sentry錯誤監控平臺的公開DSN（資料來源名稱），透過注入精心構造的虛假錯誤報告，成功劫持了包括Claude Code、Cursor和Codex在內的主流AI程式設計助手。

攻擊分為六個步驟：首先，攻擊者透過檢視網站JavaScript原始碼、Censys搜尋或GitHub程式碼搜尋找到目標的Sentry DSN。然後，他們向Sentry的接收端點傳送偽造的錯誤事件，無需任何身份驗證。第三步，在事件的訊息和上下文鍵名中嵌入Markdown內容，使其在Sentry MCP伺服器返回給AI代理時呈現為結構化的官方模板。第四步，當開發者要求AI代理“修復未解決的Sentry問題”時，代理查詢Sentry並收到該注入事件。第五步，代理執行攻擊者建議的npx命令，從npm公共倉庫下載並執行惡意包。最後，該包探測環境變數、AWS憑證、Kubernetes令牌等敏感資訊，並將其傳送到攻擊者的伺服器。

這一攻擊的獨特之處在於，它不直接針對開發者，而是針對開發者信任的AI代理。無需釣魚，攻擊者透過開發者正常的Sentry錯誤排查工作流即可完成劫持。由於Sentry的DSN被設計為公開的，這一在AI代理時代之前安全的決策，現在變成了災難性的入口。注入的Markdown內容與Sentry自身的MCP系統模板在視覺和結構上無法區分，使AI代理無法分辨真假。

研究人員在受控條件下對真實世界的目標進行了驗證。透過被動偵察發現2388家組織擁有有效的可注入DSN，其中71家位列Tranco前100萬。在驗證中，超過100個AI代理實際執行了注入的命令，包括一家財富500強企業（市值超過2000億美元）、一家20億美元以上的託管基礎設施提供商等。整個攻擊鏈中沒有任何惡意程式碼被檢測到，因為每一步都是授權操作，傳統安全措施如EDR、WAF、IAM、VPN等全部失效。

Tenet於2026年6月3日向Sentry披露了該問題。Sentry的團隊當天回應，承認問題但拒絕從根源修復，稱其“技術上無法防禦”，並指出模型供應商會自行新增中間層。Sentry隨後啟用了全域性內容過濾器來攔截特定的負載字串，但並未解決根本原因。Tenet認為，如果平臺所有者認為此類攻擊“技術上無法防禦”，那麼唯一的防線只能落在AI代理執行時的決策環節。

這一發現標誌著軟體供應鏈攻擊的新紀元。攻擊者不再需要破壞軟體包或欺騙開發者，只需向AI代理信任的資料來源注入資料，即可透過觀察平臺建立命令與控制通道，讓AI代理成為執行引擎。隨著MCP工具整合越來越多，這類攻擊面將呈指數級增長。安全領導者必須重新評估AI代理連線的工具、返回的資料型別以及防止注入資料觸發程式碼執行的控制措施。間接提示注入的時代已經到來。