C
月内に
AIコーディングエージェントを悪用して悪意のあるコードを実行させる「エージェントジャッキング(Agentjacking)」という新しい攻撃手法
📌 一言でいうと
AIコーディングエージェントを悪用して悪意のあるコードを実行させる「エージェントジャッキング(Agentjacking)」という新しい攻撃手法が発見されました。攻撃者はエラー監視ツール「Sentry」のDSNキーを悪用して偽のエラーイベントを注入し、AIエージェントに信頼された解決策として悪意のあるコマンドを実行させます。これにより、開発者PCからの環境変数やAWSキー、GitHubトークンなどの機密情報が窃取される恐れがあります。
🔍該当判定
- エラー監視ツール「Sentry(セントリー)」を導入して利用している
- AIコーディングエージェント(CursorやClineなどのAI開発ツール)を業務で利用している
- AIエージェントにSentryのMCP(Model Context Protocol)などの連携機能を設定している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. SentryのDSNキーが公開リポジトリやソースコードに露出していないか確認し、必要に応じてローテーションを行う。 2. AIエージェントが提案するコードやコマンドをそのまま実行せず、必ず人間がレビューする運用を徹底する。 3. AIエージェントに過剰な権限を与えず、最小権限の原則を適用する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AIコーディングエージェントを標的とした「エージェントジャッキング」攻撃について
お疲れさまです。AIコーディングエージェントとSentryの連携を悪用した新しい攻撃手法に関する情報共有です。
■ 概要
攻撃者がSentryのDSNキーを用いて偽のエラーイベントを注入し、AIエージェントに悪意のあるコマンド(npx等)を実行させる「エージェントジャッキング」が確認されました。AIがSentryの回答を信頼して実行するため、従来のEDRやWAFを回避して機密情報を窃取されるリスクがあります。
■ 影響範囲
- Sentryを利用し、かつAIコーディングエージェント(MCP連携等)を導入している開発環境
■ 対応手順
1. 公開リポジトリ等でSentry DSNキーが露出していないかスキャンし、漏洩が確認された場合は即座にキーを更新してください。
2. 開発チームに対し、AIエージェントが提示したコマンドを無批判に実行せず、必ず内容を確認するよう周知してください。
3. AIエージェントの実行権限を制限し、機密情報へのアクセスを最小限に抑えてください。
■ 参考情報
- Tenet Security リサーチレポート
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。AIコーディングエージェントとSentryの連携を悪用した新しい攻撃手法に関する情報共有です。
■ 概要
攻撃者がSentryのDSNキーを用いて偽のエラーイベントを注入し、AIエージェントに悪意のあるコマンド(npx等)を実行させる「エージェントジャッキング」が確認されました。AIがSentryの回答を信頼して実行するため、従来のEDRやWAFを回避して機密情報を窃取されるリスクがあります。
■ 影響範囲
- Sentryを利用し、かつAIコーディングエージェント(MCP連携等)を導入している開発環境
■ 対応手順
1. 公開リポジトリ等でSentry DSNキーが露出していないかスキャンし、漏洩が確認された場合は即座にキーを更新してください。
2. 開発チームに対し、AIエージェントが提示したコマンドを無批判に実行せず、必ず内容を確認するよう周知してください。
3. AIエージェントの実行権限を制限し、機密情報へのアクセスを最小限に抑えてください。
■ 参考情報
- Tenet Security リサーチレポート
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Agentjacking Attacks Targeting AI Coding Agents
Dear IT/Security Team,
We are sharing information regarding a new attack vector called 'Agentjacking' that targets the integration between AI coding agents and Sentry.
■ Overview
Attackers can inject malicious error events into Sentry using exposed DSN keys. When a developer asks an AI agent to analyze these errors, the agent may treat the malicious payload as a trusted resolution and execute arbitrary commands (e.g., npx) on the developer's machine, bypassing traditional security controls like EDR and WAF.
■ Scope
- Development environments utilizing Sentry in conjunction with AI coding agents (via MCP servers or similar).
■ Mitigation Steps
1. Audit source code and public repositories for exposed Sentry DSN keys and rotate them immediately if found.
2. Instruct developers to manually review all commands suggested by AI agents before execution.
3. Implement the principle of least privilege for AI agent execution environments to limit access to sensitive tokens and keys.
■ Reference
- Tenet Security Research
Priority: High
Deadline: Immediate review
Dear IT/Security Team,
We are sharing information regarding a new attack vector called 'Agentjacking' that targets the integration between AI coding agents and Sentry.
■ Overview
Attackers can inject malicious error events into Sentry using exposed DSN keys. When a developer asks an AI agent to analyze these errors, the agent may treat the malicious payload as a trusted resolution and execute arbitrary commands (e.g., npx) on the developer's machine, bypassing traditional security controls like EDR and WAF.
■ Scope
- Development environments utilizing Sentry in conjunction with AI coding agents (via MCP servers or similar).
■ Mitigation Steps
1. Audit source code and public repositories for exposed Sentry DSN keys and rotate them immediately if found.
2. Instruct developers to manually review all commands suggested by AI agents before execution.
3. Implement the principle of least privilege for AI agent execution environments to limit access to sensitive tokens and keys.
■ Reference
- Tenet Security Research
Priority: High
Deadline: Immediate review