Agentjacking：虚假错误报告劫持Claude Code和Cursor执行代码

安全研究人员发现一种名为Agentjacking的新型攻击，通过伪造错误报告劫持AI编码代理，使其在开发者机器上执行恶意代码。该攻击由Tenet Security披露，无需恶意软件、密码或入侵目标系统，而是将编码代理本身转化为武器。当开发者要求代理修复错误时，代理会以开发者的权限运行攻击者的代码。

攻击始于Sentry，一个广泛使用的错误追踪工具。Sentry允许应用通过公开密钥（DSN）发送错误报告，该密钥因设计而暴露在网站代码中。攻击者向该端点发送一个伪造的错误报告，无需密码，报告中隐藏一个“Resolution”部分，其中包含一条命令，格式与Sentry的正常建议完全一致。编码代理通过模型上下文协议（MCP）读取Sentry数据，将响应视为可信。代理无法区分真实崩溃和植入的指令，因此当开发者要求“修复未解决的Sentry问题”时，代理会执行攻击者的命令。

AI编码代理已从自动补全发展为可运行终端命令，市场迅速增长，一家AI编码初创公司最近收入达5亿美元。这种能力正是问题的根源。该攻击在主流代理中均有效，包括Claude Code、Cursor和Codex，在受控测试中成功率85%。研究人员发现2388个暴露的组织，从市值2500亿美元的企业到个人开发者，甚至包括一家云安全供应商。攻击者通过一次注入的错误即可获取环境变量、AWS密钥、GitHub令牌、git凭证和私有仓库URL，进而访问CI/CD管道和云基础设施。

最令人担忧的是，该攻击能绕过EDR、防火墙、IAM和VPN，因为整个链中没有任何未授权行为。Tenet将其称为“授权意图链”。提示词也无济于事，即使指示忽略不可信数据，代理仍执行了代码。Tenet于6月3日向Sentry报告此问题，Sentry承认问题但拒绝从根本上修复，称其“技术上不可防御”，仅添加了一个过滤器来阻止特定负载字符串，这仅处理了症状而未解决根源。这种僵局揭示了真实问题：漏洞不仅存在于Sentry，而是代理处理任何外部数据的方式。类似风险可能存在于支持票据、GitHub问题或文档中。另一项测试成功通过钓鱼攻击AI邮件代理泄露了AWS密钥。随着企业急于将代理投入生产，这一教训至关重要：与工具集成的代理也提供了新的入侵途径。正如Tenet所说，唯一能阻止攻击的环节是代理决定采取行动的瞬间。