セキュリティ企業のテネット・セキュリティ (Tenet Security) は2026年6月12日(現地時間)、開発者向けAIコーディングエージェントが不正なコードを実行させられる新たな攻撃手法「Agentjacking」を公開しました。この攻撃は、オープンソースのエラー追跡・性能監視プラットフォームSentryの構造的欠陥を悪用するもので、Claude CodeやCursorといった広く利用されているAIエージェントが標的となると指摘されています。同社は、少なくとも2,388の組織が危険に晒されていると警告し、実証実験で85%の成功率を達成したと報告しています。
Agentjackingは、Sentryのイベント取り込み機能とモデルコンテキストプロトコル (MCP) サーバーとの間のアーキテクチャ上の欠陥を悪用するものです。攻撃者は、ターゲット組織のSentry Data Source Name (DSN) を利用し、巧妙に細工された悪意のあるエラーイベントをSentryの取り込みエンドポイントに送信します。このイベントは、Sentry MCPサーバーを通じてAIエージェントに信頼されたシステム出力として返されます。
開発者がAIコーディングエージェントに対し未解決のSentry問題を修正するなどのプロンプトを指示すると、エージェントはSentryから悪意のあるイベントを受信し、これを正規の診断解決手順と誤認して、攻撃者が制御するコードを実行する可能性があります。このプロセスにおいて、攻撃者が被害者のインフラストラクチャに直接接触することはないと、研究者のロン・ボブロフ氏、バラク・スターンバーグ氏、ネボ・ポラン氏は説明しています。
テネット・セキュリティ (Tenet Security) は、制御された状況下で100以上の組織に対しこの攻撃をテストし、広く利用されている複数のAIコーディングアシスタントに対して85%の成功率を達成したと報告しています。この攻撃が成功した場合、環境変数、Git認証情報、プライベートリポジトリのURL、開発者IDなどの機密データが漏洩する可能性があると指摘されています。
Sentryはこの問題を認識しているものの、技術的に防御不可能 (technically not defensible)であるとして修正を見送る方針を示しました。しかし、同社は「特定のペイロード文字列」をブロックするグローバルコンテンツフィルターを有効化したと報じられています。
参考: thehackernews.com (アーカイブ) — 2026年6月22日 09:00 (JST)
原文ハイライト"technically not defensible"