Voltar as noticias
AgentJacking: Como um erro Sentry pode desviar Claude Code, Cursor e Codex
MCP ProtocolAltaEN

AgentJacking: Como um erro Sentry pode desviar Claude Code, Cursor e Codex

Dev.to - MCP·22 de junho de 2026

Introdução: A superfície de ataque que ninguém viu chegando

Os agentes de codificação de IA foram adotados a uma velocidade extraordinária. Claude Code ultrapassou a marca de um milhão de usuários ativos diários em apenas algumas semanas após seu lançamento. Cursor passou de um simples fork do VS Code para o editor padrão de toda uma geração de desenvolvedores nativos de IA. Codex CLI se tornou a resposta da OpenAI ao paradigma do agente no terminal. Coletivamente, essas ferramentas agora rodam diariamente em centenas de milhares de máquinas de desenvolvedores — com acesso ao sistema de arquivos, direitos de execução de shell e (via MCP) conexões a serviços externos como bancos de dados, APIs e plataformas de monitoramento.

A hipótese de segurança era simples: esses agentes são executados localmente, atrás da pilha de segurança existente do desenvolvedor — EDR, firewall, VPN, WAF, IAM. Se nada malicioso entrar na máquina, nada malicioso acontece.

A Tenet Security acabou de provar que essa hipótese está errada.

(Fonte: The Hacker News)

Como funciona o AgentJacking: A cadeia de ataque

O ataque é de uma elegância simples. Ele requer dois ingredientes:

  1. Uma chave DSN Sentry pública. Essas chaves são regularmente expostas no JavaScript do lado do cliente, repositórios públicos e documentação. Os pesquisadores encontraram 2.388 organizações com chaves DSN acessíveis publicamente.

  2. Uma única requisição HTTP POST para a API de ingestão de eventos do Sentry. Nenhum exploit, nenhuma vulnerabilidade no código do Sentry — apenas a API normal fazendo exatamente para o que foi projetada: aceitar eventos de erro.

Aqui está a cadeia completa, passo a passo:

Passo 1 — Reconhecimento. O atacante encontra a chave DSN Sentry de uma organização alvo. Isso é frequentemente um exercício de 30 segundos: procurar no GitHub, inspecionar o bundle de uma aplicação web ou interrogar o Shodan para encontrar endpoints Sentry.

Passo 2 — Criação da carga útil. O atacante constrói um falso evento de erro Sentry. A carga útil é estruturalmente idêntica a um erro legítimo — mesmo envelope JSON, mesmos campos. Mas dentro da descrição do erro, uma seção "Resolução" renderizada em markdown contém uma instrução que o atacante deseja que o agente execute, geralmente um comando npx.

Passo 3 — Injeção. O atacante envia o evento via POST https://sentry.io/api/{org_id}/store/. Nenhuma autenticação além da chave DSN é necessária — é assim que a API pública do Sentry é projetada.

Passo 4 — O desenvolvedor aciona o agente. O desenvolvedor, vendo um erro Sentry em seu painel (ou tendo configurado seu agente para monitorar o Sentry), pede a Claude Code, Cursor ou Codex: "Corrija os erros Sentry."

Passo 5 — MCP transmite a carga útil ao agente. O servidor MCP Sentry recupera o evento de erro e o apresenta ao agente como um contexto estruturado. O markdown é renderizado — títulos, blocos de código, a seção de resolução fabricada — tudo é impossível de distinguir de um verdadeiro erro Sentry.

Passo 6 — O agente executa o código do atacante. O agente lê as instruções disfarçadas em markdown, as interpreta como a correção e executa o comando npx do atacante na própria máquina do desenvolvedor, com todos os privilégios do desenvolvedor. O comando pode exfiltrar chaves API, instalar um shell reverso, modificar o código-fonte ou pivotar para a infraestrutura interna.

Os números: 85% de sucesso, 2.388 organizações expostas

As pesquisas da Tenet Security, conduzidas por Ron Bobrov, Barak Sternberg e Nevo Poran, não eram teóricas. Eles testaram o ataque contra mais de 100 organizações consententes em ambientes controlados.

Métrica Valor
Taxa de sucesso 85%
Organizações expostas 2.388
Agentes envolvidos Claude Code, Cursor, Codex CLI
Complexidade Uma única requisição HTTP POST
Detecção por EDR/WAF 0%

Os 15% que resistiram não o fizeram graças a um controle de segurança — o agente simplesmente perguntou "você tem certeza de que deseja executar este comando?" e o desenvolvedor, se estivesse atento, recusou.

A resposta do Sentry: "Tecnicamente indefensável"

O Sentry reconheceu o problema em 3 de junho de 2026, mas se recusou a implementar uma correção na raiz do problema. Segundo o Sentry, filtrar conteúdo malicioso no nível da plataforma é "tecnicamente indefensável".

Mas, de uma perspectiva mais ampla, essa resposta destaca uma lacuna estrutural: os servidores MCP são limites de confiança, mas ninguém os trata como tais.

O problema de confiança do MCP: Além do Sentry

AgentJacking não é um problema do Sentry. É um problema de arquitetura do MCP. O Protocolo de Contexto do Modelo foi projetado para integração de dados, não para resiliência contra adversários. O protocolo não fornece nenhum mecanismo para a proveniência dos dados, integridade do conteúdo ou separação de instruções.

A resposta: Três apostas de infraestrutura em uma semana

1. Tenet Security: 6 milhões de dólares para o "Firewall para Agentes"

Em 17 de junho, a Tenet Security saiu da clandestinidade com uma rodada de financiamento inicial de 6 milhões de dólares para uma plataforma de segurança em nível de agentes.

2. Agent Beacon: Telemetria open source

Em 22 de junho, a Asymptote Labs lançou o Agent Beacon, a primeira camada de telemetria open source para agentes de IA, sob licença MIT.

3. Contas Temporárias Cloudflare

Em 19 de junho, a Cloudflare lançou as Contas Temporárias para Agentes de IA — contas de 60 minutos sem OAuth.

Camada Problema Solução Fornecedor
Prevenção Dados maliciosos Inspeção MCP Tenet Security
Visibilidade Ausência de auditoria OpenTelemetry Agent Beacon
Confinamento Acesso ilimitado Sandbox de 60 min Cloudflare

O que os desenvolvedores podem fazer hoje

  1. Auditem suas conexões MCP
  2. Rotação das chaves DSN expostas
  3. Confirmação de comando para pacotes externos
  4. Implantem uma telemetria em nível de agente
  5. Considerem o MCP como um limite de confiança
  6. Isolem os deployments dos agentes

FAQ

Q: AgentJacking está sendo explorado ativamente?
Não há nenhuma prova de exploração ativa em 22 de junho de 2026.

Q: O MCP está fundamentalmente quebrado?
Não. O MCP foi projetado para integração de dados. Ele precisa de um modelo de confiança que não possui atualmente.

Contexto Triplo Up

As empresas brasileiras que utilizam agentes de IA devem estar cientes das vulnerabilidades associadas ao MCP. A exposição a ataques como o AgentJacking pode comprometer a segurança de dados e operações, exigindo medidas proativas de segurança.

Ver fonte original

Noticias relacionadas

AgentJacking: Como um Erro Falso Pode Sequestrar Código de Agentes de IA
MCP ProtocolAlta

AgentJacking: Como um Erro Falso Pode Sequestrar Código de Agentes de IA

Pesquisadores revelam a técnica 'AgentJacking', que permite sequestrar agentes de codificação de IA com uma taxa de sucesso de 85%, explorando falhas no protocolo MCP. A segurança dos agentes de IA está em risco.

Dev.to - MCP·22 de junho de 2026
EN
Como o RustAPI Transforma Cada Endpoint em uma Ferramenta de Agente de IA
MCP ProtocolAlta

Como o RustAPI Transforma Cada Endpoint em uma Ferramenta de Agente de IA

O RustAPI simplifica a integração de agentes de IA com APIs REST, eliminando a necessidade de servidores MCP separados e duplicação de esquemas, aumentando a eficiência das chamadas de ferramentas.

Dev.to - MCP·22 de junho de 2026
EN
Seu agente de codificação de IA tem amnésia. Aqui está como eu consertei isso em todas as ferramentas.
MCP ProtocolAlta

Seu agente de codificação de IA tem amnésia. Aqui está como eu consertei isso em todas as ferramentas.

Agentes de codificação esquecem tudo entre sessões. A solução é uma camada de memória sobre o MCP, permitindo que os agentes compartilhem informações e aprendam ao longo do tempo.

Dev.to - MCP·22 de junho de 2026
EN

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.