Agentjacking: Wie gefälschte Sentry-Fehler KI-Coding-Agenten für Hacker arbeiten lassen

Agentjacking nennt Tenet Security eine neue Angriffskategorie, die im Juni 2026 erstmals dokumentiert wurde. Die Mechanik ist unangenehm simpel. Ein Angreifer findet den öffentlichen Sentry-DSN eines Unternehmens (oft direkt im Client-seitigen JavaScript-Bundle eingebettet), sendet eine manipulierte POST-Anfrage an die Sentry-API und wartet. Wenn ein Entwickler danach Claude Code oder Cursor anweist, die offenen Sentry-Fehler zu beheben, führt der KI-Assistent die Befehle des Angreifers mit den eigenen Credentials des Entwicklers auf dessen Rechner aus.

Tenet testete den Angriff gegen die meistgenutzten KI-Coding-Assistenten und erzielte eine Erfolgsrate von 85 %.

Wie die Angriffskette funktioniert

Sentry ist die dominierende Fehler-Tracking-Plattform im professionellen Software-Engineering. Die Integration mit KI-Coding-Tools via Model Context Protocol (MCP) ermöglicht es Entwicklern, ungelöste Fehler abzufragen und ihren KI-Assistenten um Lösungsvorschläge zu bitten. Dieser Workflow ist bei Teams, die Claude Code, Cursor oder OpenAIs Codex einsetzen, inzwischen verbreitet.

Die Schwachstelle liegt im Zusammenspiel zweier Designentscheidungen. Sentries Event-Ingestion-API akzeptiert Payloads von jedem, der einen gültigen DSN besitzt, ohne weitere Authentifizierung. Der Sentry-MCP-Server gibt den Inhalt dieser Fehlerereignisse als vertrauenswürdige Systemausgabe an den KI-Agenten weiter, ohne zwischen legitimen Fehlerdaten und eingeschleustem Angreiferinhalt zu unterscheiden.

Die Angriffskette:

1. Angreifer findet den Sentry-DSN des Ziels, typischerweise in öffentlichen JavaScript-Bundles
2. Sendet ein manipuliertes Fehlerereignis per HTTP POST, mit bösartigen Schritten als Markdown in den Nachrichtenfeldern
3. Entwickler bittet den KI-Agenten, offene Sentry-Probleme zu bearbeiten
4. Agent liest die Antwort, behandelt eingeschleuste Anweisungen als legitime Diagnoseschritte und führt Angreifer-kontrollierten Code aus

Ein erfolgreicher Angriff ermöglicht Zugriff auf CI/CD-Credentials, private Repositories, Cloud-Infrastruktur und die Installation persistenter Backdoors, alles im Kontext des Entwickler-Accounts.

Im Test übernahm Tenet die KI-Coding-Umgebung eines Fortune-100-Unternehmens mit einer Marktkapitalisierung von 250 Milliarden Dollar. The Hacker News berichtete, dass der Angriff gegen Claude Code, Cursor und Codex funktionierte.

Was hinter den Zahlen steckt

Die 2.388 betroffenen Unternehmen beschreiben die Angriffsfläche: Organisationen, bei denen Tenet injizierbare Sentry-DSNs durch Standard-Scanning-Verfahren identifiziert hat. Es handelt sich nicht um bestätigte Opfer.

Relevant ist, welcher Anteil dieser 2.388 Unternehmen KI-Coding-Agenten mit Sentry-MCP-Integration einsetzt. Bei den Adoptionsraten im professionellen Software-Engineering Mitte 2026 ist von 30 bis 50 % auszugehen, also 700 bis 1.200 Organisationen im Bereich aktiv ausnutzbarer Umgebungen unter normalen Workflows.

Die 85 % Erfolgsrate gilt unter der Bedingung, dass Entwickler den Agenten aktiv auffordern, Sentry-Fehler zu bearbeiten. Das ist die günstigste Ausgangsposition für den Angreifer. Der reale Wert wird niedriger liegen. Trotzdem gilt: Sobald die Auslösebedingung erfüllt ist, besteht eine Abwehrrate von rund 15 %. Das ist kein tragbares Risikoprofil.

Angriffs­aufwand: nahezu null. Ein öffentlicher DSN, ein API-Aufruf. Der potenzielle Schaden pro erfolgreicher Kompromittierung übersteigt allein durch Incident-Response-Kosten sechsstellige Euro-Beträge, ohne Datenschutz- oder IP-Konsequenzen.

Tenet meldete die Schwachstelle am 3. Juni 2026 an Sentry. Sentry bestätigte das Problem, lehnte aber eine Behebung auf Grundursachen-Ebene ab mit der Begründung, es sei technisch nicht defensierbar. Die Schwachstelle bleibt offen.

Drei Indikatoren in den nächsten Monaten

Erstens: Ob das MCP-Protokoll eine Input-Trust-Klassifizierung erhält. MCP ist eine offene Spezifikation ohne aktuellen Standard zur Unterscheidung vertrauenswürdiger Systemausgaben von extern injizierbarem Content. Ein Mechanismus vergleichbar mit Content Security Policy für MCP-Tool-Antworten würde das Grundproblem lösen, nicht nur für Sentry, sondern für alle MCP-Integrationen mit externem Schreibzugriff.

Zweitens: Öffentliche Stellungnahmen von Anthropic, Anysphere und OpenAI. Alle drei Produkte wurden getestet und kompromittiert. Eine sinnvolle Gegenmaßnahme auf Agent-Ebene wäre ein erzwungenes Freigabe-Protokoll vor der Ausführung externer Dienstanweisungen, das per Default aktiviert ist. Ob das kurzfristig kommt, ist bislang offen.

Drittens: Ob Sentry seine Position überdenkt. Die Aussage sei technisch nicht defensierbar ist entweder eine Aussage über echte Architekturrestriktionen oder über Prioritätensetzung. Wenn innerhalb der nächsten Quartale keine serverseitige Eingabevalidierung oder DSN-scoped Write Permissions kommen, ist es Ersteres, und die Lösung muss vollständig außerhalb von Sentry entstehen.

Wer Claude Code oder Cursor mit Sentry-MCP-Integration betreibt: Die unmittelbare Maßnahme ist, automatische Sentry-Fehlerbehebungs-Workflows zu deaktivieren und vor der Ausführung von aus Fehler-Tracking-Plattformen stammenden Anweisungen explizite menschliche Freigabe einzufordern.

Eine grundsätzlichere Frage lohnt sich: Welche anderen MCP-Tools im eigenen Stack akzeptieren externen Input und geben ihn als vertrauenswürdige Systemausgabe an den KI-Agenten weiter? Sentry ist der nachgewiesene Fall. Die strukturell analogen Fälle sind zahlreicher, als die meisten Sicherheitsreviews derzeit erfassen.

Wenn dieser Artikel hilfreich war, abonniere den Newsletter für wöchentliche KI-PM-Einblicke.

---

Verwandte Artikel:

• OpenAI Lockdown Mode: Schutz vor Prompt Injection in KI-Agenten
• Google ARD-Spezifikation: Wie KI-Agenten sich im Web finden werden