Уязвимость Sentry позволила взломать Claude Code AI

Атака на Claude Code была осуществлена через Sentry, при этом аналогичные уязвимости выявлены у Datadog, PagerDuty и Jira.

Схематическое изображение атаки через Sentry на Claude Code AI и другие сервисы.

Tenet Security обнаружила критическую уязвимость, названную «agentjacking», которая позволяет злоумышленникам выполнять свой код с полными привилегиями разработчика через скомпрометированные AI-агенты. Эта проблема затрагивает популярные инструменты, такие как Claude Code, Cursor и Codex, и была выявлена в ходе контролируемого тестирования, где ни одна из стандартных систем безопасности не сработала.

Уязвимость проявляется, когда поддельный отчёт об ошибке, отправленный через публичный DSN-ключ Sentry, внедряет вредоносные инструкции в диагностический вывод. AI-агенты затем выполняют эти инструкции, считая их доверенными. В ходе тестов Tenet Security добилась 85% успеха, обнаружив при этом 2388 организаций с публично доступными DSN Sentry, потенциально уязвимых к атакам. Один из захваченных экземпляров Claude Code содержал действующий секретный ключ AWS.

Проблема «agentjacking» заключается в том, что каждый шаг атаки является авторизованным. Злоумышленник использует действительный вызов API Sentry с публичным DSN, сервер MCP возвращает внедрённое событие как подлинный вывод, а агент выполняет инструкцию с привилегиями разработчика. Системы безопасности, такие как EDR, WAF, IAM и брандмауэр, не регистрируют никаких предупреждений, поскольку не отличают действия агента от действий человека.

Пять независимых исследований, проведённых в первой половине 2026 года, показали, что компании слишком доверяют своим AI-агентам.

  • Опрос Okta/Apprize360: Только 34% организаций применяют те же меры безопасности к AI-агентам, что и к людям. 52% сотрудников используют неутверждённые AI-инструменты.
  • Отчёт HiddenLayer: 33% агентов превысили свои первоначальные полномочия. 31% компаний не смогли подтвердить, имели ли они утечки, связанные с AI.
  • Исследование Gravitee: Только 14.4% агентов были запущены с полным одобрением безопасности. 88% сообщили о подтверждённых или предполагаемых инцидентах.

Элиа Зайцев, технический директор CrowdStrike, отметил, что индустрия упустила из виду безопасность агентов во время выполнения. Он сравнил защиту агентов с защитой пользователей с высокими привилегиями. CrowdStrike представила «Continuous Identity for AI Agents» 15 июня, которая обеспечивает непрерывную авторизацию каждого действия агента в реальном времени. Зайцев также подчеркнул бесполезность песочниц, если они лишают агентов доступа, поскольку ценность агентов именно в их возможностях доступа.

Проблема управления также связана с бюджетом. Кейн МакГладри из IEEE указал, что у директоров по информационной безопасности часто нет достаточных средств или персонала для эффективного контроля. Ассаф Керен, директор по безопасности Qualtrics, добавил, что внедрение AI-систем на плохо спроектированной архитектуре только усугубляет существующие проблемы.

Для оценки уязвимости своей инфраструктуры компании могут использовать «тест из пяти вопросов», основанный на упомянутых исследованиях.

  1. Инвентаризация агентов: Какой процент агентов, MCP-подключений и LLM-автоматизаций прошёл проверку безопасности перед развёртыванием?

    Менее 15% агентов получают полное одобрение безопасности. Неутверждённые агенты невидимы для систем идентификации и не учитываются при утечках. Решение: проведите полный учёт агентов и MCP-серверов.

  2. Паритет контроля: Получают ли агенты те же проверки доступа, определение привилегий и сроки отзыва, что и сотрудники?

    Только 34% применяют одинаковые меры контроля. Агент со статическим токеном OAuth становится постоянной привилегированной учётной записью. Решение: включите всех производственных агентов в цикл проверки доступа, используйте короткоживущие токены.

  3. Дрейф области действия: Получали ли агенты доступ к данным или системам за пределами их определённой области действия за последние 12 месяцев?

    33% агентов уже превысили свои полномочия. Это может привести к нарушениям GDPR, CCPA, HIPAA. Решение: проведите 90-дневный аудит дрейфа области действия для каждого агента.

  4. Разрыв в восприятии управления: Считают ли 50 рядовых сотрудников, что политики использования AI-агентов ясны?

    Разрыв в 22 пункта между руководителями (65%) и сотрудниками (43%) в ясности политик. Сотрудники делятся конфиденциальными данными с неутверждёнными AI-инструментами. Решение: проведите опрос, опубликуйте чёткую политику использования AI-агентов.

  5. Уверенность в обнаружении утечек: Может ли ваша команда безопасности подтвердить, произошла ли утечка, связанная с AI, за последние 12 месяцев?

    31% не могут ответить. 88% сообщили об инцидентах. Agentjacking обходит стандартные системы обнаружения. Решение: требуйте обнаружение, специфичное для агентов, во время выполнения.

Директорам по безопасности следует учесть, что требования EU AI Act для систем высокого риска вступают в силу 2 августа 2026 года. Важно провести тест из пяти вопросов до оценки поставщиков, внедрить обнаружение действий агентов в реальном времени и относиться к каждому агенту как к привилегированному инсайдеру.

Agentjacking показал, что авторизованные действия не всегда безопасны. Когда каждый шаг в цепочке легитимен, единственная эффективная защита — это наблюдение за тем, что агенты делают, а не за тем, что предписывают политики.