内容要点:
• 间接提示词注入的新变种:安全机构 Tenet Security 披露了一种名为“Agentjacking”的严重安全漏洞。黑客利用公开暴露 the Sentry DSN 发送伪造的错误报告,诱导 AI 编程智能体在本地机器执行恶意代码,且无需盗取开发凭证。
• 利用 MCP 协议的隐式信任:漏洞根源在于 AI 编程助手(如 Claude Code、Cursor 等)在通过模型上下文协议(MCP)接入外部数据源时,对检索到的诊断数据(如 Markdown 格式 of 错误报告)存在盲目信任,将其误判为安全的系统级指令。
• 供应链与本地环境沦陷:一旦开发人员要求 AI 智能体“排查最近的 Sentry 报错”,智能体便会运行嵌入在伪造报错中的恶意命令,导致本地环境变量泄露、Git 凭据被盗以及私有代码库非法访问。
久湛洞察:
Agentjacking 戳破了当前 AI 智能体开发中“盲目信任数据源”的脆弱假设。当 AI Agent 被赋予本地命令执行、文件读写等“行动权”时,任何未经严格审查的外部输入(如 Sentry 错误日志、网页抓取内容)都可能成为潜在的注入攻击载体。这表明,企业在内部部署 AI 编程助手或自动化 Agent 管道时,必须对其执行环境进行严格的沙箱隔离(Sandbox),并采用“最小权限原则”,杜绝 AI 成为被黑客借刀杀人的木马。
> 权威源:Tenet Security 网络安全实验室漏洞分析报告(2026年6月中旬)
> 关键词:Agentjacking、模型上下文协议、MCP、Sentry DSN、提示词注入、智能体沙箱
> 真实链接:The Hacker News Report