偽のSentryエラーがAIエージェントを「信頼」する
攻撃の起点はSentryのDSN(Data Source Name)だ。 DSNはウェブサイトの公開コードに埋め込まれる書き込み専用の認証情報で、誰でもSentryのエンドポイントにエラーイベントを送信できる。
攻撃者はこのDSNを入手し、悪意あるマークダウン形式の「偽のエラーイベント」を対象組織のSentryに送り込む。 開発者がAIコーディングエージェントに「Sentryのエラーを直して」と依頼すると、エージェントはSentryから取得したその偽エラーを「正規の問題」として解釈し、埋め込まれた攻撃者の指示を開発者の権限で実行してしまう。
攻撃の核心はModel Context Protocolの「暗黙の信頼」
この攻撃が成立する根本的な理由は、AIコーディングエージェントがMCP(Model Context Protocol)経由で外部ツールと連携する際、データの真正性を検証しない点にある。 Sentryから届いたデータを「信頼できるソース」とみなし、その内容を批判的に評価しないまま実行に移す。
Tenet Securityの研究者Ron Bobrov、Barak Sternberg、Nevo Poranが2,388の組織でDSNを調査したところ、注入済みエラーへの攻撃成功率は85%に達した。 攻撃はEDR(エンドポイント検出・対応)、WAF(ウェブアプリケーションファイアウォール)、VPN、Cloudflare、IAMを迂回する。 攻撃が成功すると、開発者の環境変数、Gitの認証情報、プライベートリポジトリのURLが漏洩し得る。
Sentryは「根本的な対策は困難」と表明
脆弱性はSentryに対して2026年6月3日に開示された。 Sentryは特定のペイロード文字列をブロックする「グローバルコンテンツフィルター」を有効化したが、「アーキテクチャ上、根本的な防御は困難」との立場を取った。
Tenet Securityは対策として「agent-jackstop」をオープンソースで公開している。 Claude CodeとCursorをこの攻撃クラスに対して強化するドロップイン設定ファイルだ。 AIコーディングエージェントを利用する開発者や組織は、外部ツールからの入力を盲目的に信頼しない設定の見直しが急務となる。
ソース:
