Ihre Dependency-Pipeline ist abgesichert. Ihr KI-Coding-Agent führt trotzdem beliebige Befehle aus.

Ihre Dependency-Pipeline ist abgesichert. Sie auditieren Ihre npm-Pakete. Ihre CI/CD ist gehärtet.

Ihr KI-Coding-Agent führt trotzdem beliebige Befehle aus – was auch immer in Ihren Error-Logs landet.

Forscher von Tenet Security haben diese Woche eine neue Angriffskategorie namens Agentjacking offengelegt. So funktioniert sie: Ihr Team nutzt einen KI-Coding-Agenten – Claude Code, Cursor oder Codex – der über MCP mit Sentry für Error-Monitoring verbunden ist. Der Agent ruft Sentry-Fehlerereignisse ab, um beim Debugging zu helfen. Ein Angreifer findet Ihren Sentry-DSN – ein öffentlicher, schreibgeschützter Credential, den Entwickler routinemäßig in Repos einbetten oder in Frontend-JavaScript einfügen – und injiziert eine bösartige Anweisung in die Error-Queue. Der Agent ruft sie ab, behandelt sie als legitimen Anwendungsfehler und führt den Befehl des Angreifers mit den Systemprivilegien des Entwicklers aus.

Das ist Prompt Injection über einen völlig legitimen Datenkanal. Die MCP-Verbindung läuft ordnungsgemäß. Der Agent verhält sich genau so, wie er soll. Das Tool funktioniert. Und der Angreifer hat trotzdem die Kontrolle.

Auditieren Sie, welche MCP-Verbindungen Ihre KI-Coding-Agenten haben. Rotieren Sie alle exponierten Sentry-DSNs. Beschränken Sie, welche Aktionen Agenten basierend auf externen Datenquellen ausführen können. Behandeln Sie alle Eingaben in KI-Agenten – nicht nur Code – als potenziell nicht vertrauenswürdig.