The attack that hijacked Claude Code came through Sentry. Datadog, PagerDuty, and Jira have the same exposure.

Tenet Security는 공개 Sentry DSN으로 조작된 오류 이벤트를 보내 Claude Code, Cursor, Codex가 이를 신뢰된 진단 출력으로 처리하고 공격자 명령을 실행할 수 있음을 입증했습니다. 통제된 테스트에서 100개 이상 대상 중 85%에서 성공했으며, EDR, WAF, IAM, 방화벽은 이를 탐지하지 못했습니다. 연구진은 공개 노출된 Sentry 자격 증명을 보유한 2,388개 조직을 확인했지만, 전면적 실제 악용이 확인된 것은 아니라고 밝혔습니다.

이번 사례는 침해나 권한 탈취 없이 정상 API 호출과 신뢰된 개발 도구 연동만으로 발생하는 agentjacking 위험을 보여줍니다. Sentry뿐 아니라 Datadog, PagerDuty, Jira 등 MCP로 연결된 데이터 소스를 AI 코딩 에이전트가 읽고 shell 명령까지 실행할 수 있다면 동일한 사각지대가 생깁니다. 대응의 핵심은 공개 DSN 폐기가 아니라 에이전트가 외부 진단 데이터를 해석하고 실행 권한으로 연결하는 경로를 제한하는 데 있습니다.