Pular para o conteúdo principal
Tech86 Logo
Fechar
Segurança

Agentjacking: O Sequestro de Agentes de IA via Sentry MCP

Gabriel Ferraresi· CEO | Tech8626 de junho de 20266 min
segurancaiamcpagentjackingsentry

Você pede ao seu agente de IA: "corrige os erros do Sentry." Ele consulta o Sentry via MCP, lê um erro falso com uma seção "Resolution" contendo um comando npx, e executa com seus privilégios totais de sistema. Sem breach. Sem exploit. Sem acesso não autorizado. Tudo legítimo. Tudo devastador. Isso é Agentjacking — e segundo a Tenet Security, 85% dos agentes testados executaram o payload.

O que é Agentjacking

Agentjacking é uma classe de ataque que sequestra agentes de IA de codificação para executar comandos maliciosos com os privilégios totais do desenvolvedor. O termo foi cunhado pela Tenet Security — startup que emergiu do stealth em 17 de junho de 2026 com rodada seed de US$ 6 milhões, fundada por ex-integrantes do Cisco AI Defense e alumni da Unit 8200 (CEO Barak Sternberg, CTO Nevo Poran).

O conceito central é a Cadeia de Intenções Autorizadas: cada passo do ataque é legítimo e autorizado. O agente consulta uma ferramenta MCP, lê dados, interpreta instruções e executa ações — exatamente o que foi projetado para fazer. O problema é que os dados lidos podem conter instruções maliciosas injetadas por um atacante, e o agente não consegue distinguir orientação legítima de um payload.

Segundo a pesquisa da Tenet Security, 4+ famílias de agentes foram sequestradas: Claude Code, Cursor, Codex e outros. A taxa de sucesso de 85% entre agentes que agiram sobre erros injetados mostra que o problema não é pontual — é sistêmico.

A cadeia de ataque via Sentry MCP

Segundo a Tenet Security, o ataque contra o Sentry segue 5 etapas:

  1. Descoberta da DSN: o atacante encontra a DSN (Data Source Name) pública do Sentry no JavaScript do site. A DSN é uma chave write-only, sem autenticação — qualquer pessoa pode postar eventos para ela.

  2. Injeção do evento forjado: o atacante faz um POST para ingest.sentry.io com um evento fabricado. O servidor retorna HTTP 200 e processa o evento como qualquer erro real.

  3. Injeção de markdown: o evento forjado contém markdown que faz o erro parecer idêntico ao template do próprio Sentry — incluindo uma seção "Resolution" com um comando npx malicioso.

  4. Leitura pelo agente: o agente de IA consulta o Sentry via MCP, lê o evento forjado e não consegue distinguir de orientação legítima do próprio Sentry.

  5. Execução com privilégios totais: o agente executa o comando npx com os privilégios totais do desenvolvedor. O que é exfiltrado: chaves AWS, tokens GitHub, credenciais Kubernetes, tokens npm e Docker, secrets de CI/CD, acesso ao SSH agent, tokens de autenticação do próprio Sentry.

Os números são alarmantes: 2.388 organizações com DSNs expostas e injetáveis. 71 delas no top-1M do ranking Tranco. Mais de 100 organizações no conjunto validado controlado. A superfície de ataque é real e mensurável.

Por que nada detecta

Segundo a Tenet Security, cada passo do ataque é autorizado. EDR não sinaliza porque não há execução de código não autorizada. WAF não bloqueia porque o POST para o Sentry é legítimo. IAM não detecta porque o agente opera com as credenciais do próprio desenvolvedor. VPN não ajuda porque o tráfego é normal. Nada é não autorizado — e é exatamente isso que torna o ataque invisível.

É uma Cadeia de Intenções Autorizadas. Defesas na camada de prompt também falharam: agentes executaram o payload mesmo quando instruídos explicitamente a ignorar dados não confiáveis. A confiança semântica entre agente e ferramenta está quebrada — e as ferramentas de segurança tradicionais não operam nessa camada.

Sentry é só o começo

Segundo a Tenet Security, qualquer serviço conectado via MCP onde partes externas contribuem conteúdo tem a mesma vulnerabilidade. A superfície de ataque vai muito além do Sentry:

  • Issue trackers (Jira, Linear, GitHub Issues): qualquer usuário pode criar issues com markdown que o agente lê e interpreta como instruções.
  • Sistemas de ticketing: tickets de suporte ao cliente podem conter instruções maliciosas que o agente executa ao tentar "resolver" o ticket.
  • Plataformas de code review: comentários em pull requests podem conter payloads que o agente executa ao tentar "implementar" o feedback.
  • Agregação de logs: logs injetados podem conter instruções que o agente interpreta como orientação de debugging.

O padrão é o mesmo: um canal onde dados não confiáveis fluem para dentro de um sistema que o agente de IA consulta via MCP. O agente não distingue dados de instruções — e o atacante explora exatamente essa ambiguidade.

A resposta do Sentry

Segundo a Tenet Security, o Sentry reconheceu o problema em 3 de junho. Recusou uma correção de causa raiz, argumentando que a vulnerabilidade é "indefensável por natureza". Adicionou um filtro de conteúdo para uma string específica de payload.

O filtro é trivialmente bypassável: basta alterar o payload para não conter a string bloqueada. É como bloquear uma URL específica de phishing enquanto milhares de outras permanecem acessíveis. A resposta do Sentry não resolve o problema fundamental — e não é razoável esperar que resolvesse sozinho. A vulnerabilidade está na arquitetura de confiança entre agente e ferramenta, não no Sentry em si.

Mitigação disponível

Segundo a Tenet Security, a mitigação open-source está disponível em github.com/tenet-security/agent-jackstop — configurações drop-in para Cursor e Claude Code que bloqueiam a execução automática de comandos originados de dados não confiáveis.

Mas a proteção real requer uma mudança de modelo mental: o perímetro de segurança se moveu para a confiança semântica entre agente e ferramenta. Isso significa:

  • Fronteiras de confiança no MCP: agentes nunca devem executar comandos de shell originados de dados lidos via MCP sem confirmação explícita do desenvolvedor.
  • Privilégio mínimo: agentes devem ter acesso apenas às ferramentas MCP estritamente necessárias, com o menor escopo de permissões possível.
  • Auditoria de permissões: revisar regularmente quais ferramentas MCP cada agente pode acessar e quais ações cada ferramenta pode executar.

Na Tech86, nós vemos o Agentjacking como o primeiro exemplo concreto de uma nova classe de ameaças que vai crescer exponencialmente conforme mais serviços se conectam via MCP. O modelo de segurança de agentes de IA precisa evoluir — e rápido. Se sua equipe usa agentes de IA para codificar, precisa entender Agentjacking hoje. Nós podemos ajudar a avaliar e mitigar essa superfície de ataque.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Consultoria de Segurança para IA

Perguntas Frequentes

Agentjacking é uma classe de ataque que sequestra agentes de IA para executar comandos maliciosos com os privilégios totais do desenvolvedor. Segundo a Tenet Security, o ataque funciona injetando instruções maliciosas em serviços conectados via MCP (como Sentry), que o agente lê e executa como se fossem orientações legítimas. Não há breach, não há exploit, não há acesso não autorizado — cada passo é legítimo, o que torna a detecção extremamente difícil.

Segundo a Tenet Security, a cadeia de ataque tem 5 etapas: o atacante encontra a DSN pública do Sentry no JavaScript do site, posta um evento forjado para ingest.sentry.io, usa injeção de markdown para fazer o erro falso parecer idêntico ao template do Sentry, o agente de IA lê o evento via MCP e não consegue distinguir de orientação legítima, e executa o comando npx com privilégios totais. A DSN é uma chave write-only sem autenticação — qualquer pessoa pode postar eventos.

Segundo a Tenet Security, o Sentry reconheceu o problema em 3 de junho, mas recusou uma correção de causa raiz, argumentando que a vulnerabilidade é "indefensável por natureza". Adicionou um filtro de conteúdo para uma string específica de payload, que é trivialmente bypassável alterando o payload. A resposta do Sentry não resolve o problema fundamental: qualquer serviço MCP onde partes externas contribuem conteúdo tem a mesma vulnerabilidade.

Segundo a Tenet Security, a proteção eficaz requer três camadas: instalar as mitigações open-source do agent-jackstop (github.com/tenet-security/agent-jackstop), implementar fronteiras de confiança no MCP que impeçam execução automática de comandos de shell originados de dados não confiáveis, e auditar as permissões dos agentes para reduzir privilégios ao mínimo necessário. EDR, WAF e IAM não detectam o ataque porque cada passo é autorizado — a defesa precisa estar na camada de confiança semântica.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.