Sentry漏洞暴露：AI编程工具面临劫持风险

在受控测试中，一个伪造的错误报告成功劫持了Claude Code——智能体以开发者的完整权限执行了攻击者的代码，而没有任何警报触发。端点检测与响应(EDR)、Web应用防火墙(WAF)、身份与访问管理(IAM)以及防火墙都完全忽略了这次攻击。

Tenet安全公司在六月份披露的“智能体劫持”漏洞描述了一种精心构造的Sentry错误事件——通过无需破解和认证的公开凭证发送——将攻击者指令注入错误数据中，随后Claude Code、Cursor和Codex将这些指令作为可信的诊断输出执行。Tenet在受控条件下对100多个目标进行了测试，成功率达到85%。Sentry称此漏洞”在技术上无法防御”。

在披露后几天内，云安全联盟(CSA)将”智能体劫持”分类为系统性MCP漏洞类别。没有凭证被盗，没有策略被违反，没有边界被突破：链中的每一步都获得了授权。这正是问题所在。

Tenet识别出2,388个公开暴露Sentry凭证的组织，这些凭证可被用来大规模注入恶意事件。这项研究是概念验证，并非确认所有2,388个组织都已被利用。但在一个被捕获的Claude Code环境中，发现了活动的AWS密钥访问凭证和私有仓库URL。

范围测试如下：如果您的AI编程智能体连接到Sentry、Datadog、PagerDuty、Jira或任何开发者信任的MCP连接数据源——并且这些智能体能执行shell命令——那么您的技术栈存在同样的盲点。

运行Sentry的组织应立即审计所有公开暴露的数据源名称(DSN)。Sentry的架构故意使DSN凭证公开化以支持前端错误报告，因此缓解措施不是撤销DSN——而是限制智能体对DSN返回数据所能执行的操作。

为何您的技术栈无法察觉此攻击

“智能体劫持”之所以有效，是因为每个步骤都获得了授权：攻击者使用公开DSN发送有效的Sentry API调用，MCP服务器将注入的事件作为真实输出返回，智能体使用开发者的权限执行指令。没有触发任何签名。受害者只看到良性的诊断信息，而智能体则悄悄暴露了云凭证和源代码控制令牌。

安全运营中心(SOC)团队从未需要区分开发者运行npm安装和智能体响应恶意错误事件而执行该命令的情况。这种区别在AI编程工具成为生产工具之前并不存在。无法进行这种区分的技术栈正是”智能体劫持”所绕过的。

五项调查，一个共同模式

2026年上半年进行的五项独立调查发现，企业对其AI智能体的信任程度远超其安全措施所证明的合理性。

根据Okta/Apprize360对292名高管和492名知识工作者的调查，仅有34%的组织对AI智能体应用与人类相同的安全控制措施。52%的员工使用未经批准的AI工具，58%的高管报告在前一年经历了AI相关事件或险些发生的事件。

HiddenLayer的2026年AI威胁态势报告调查了250名IT和安全领导者：33%报告智能体已超出预期范围，31%无法确认是否经历过AI安全漏洞。每八个AI安全漏洞中就有一个与智能体系统相关。

Gravitee对900多名高管和从业者进行的调查发现，仅有14.4%的智能体获得完整安全批准后才上线，88%报告了已确认或可疑的事件。四月份对750名领导者的跟进调查发现，智能体数量翻倍，而监控措施几乎没有变化。

无人填补的运行时差距

“保护智能体与保护高度特权用户非常相似，”CrowdStrike首席技术官Elia Zaitsev在接受VentureBeat采访时表示。”它们拥有身份、对底层系统的访问权限，能够推理并采取行动。”

Zaitsev指出了行业留下的差距。”没有人一直在讨论保护智能体的运行时安全。我们现在正在解决这个问题。您的安全网是什么？如果所有这些控制措施都失败了，您如何防止它们静默失败？”

CrowdStrike的舰队数据量化了这种风险：企业终端上有超过1,800个智能体应用程序，约1.6亿个实例受到监控。6月15日，CrowdStrike在Identiverse大会上发布了AI智能体连续身份验证，用持续授权取代静态策略，实时授权每个智能体操作。该公告反映的控制类别——具有可验证智能体身份的连续操作级授权——现已成为无论供应商如何的基准采购标准。

“人们似乎已经忘记了运行时安全，”Zaitsev表示。”我们在终端、虚拟化和云方面都经历了这一过程。人们专注于修补漏洞、锁定权限。不知何故，他们似乎总是遗漏某些东西。安全网就是运行时安全。”

Zaitsev对沙盒方法同样直言不讳。”如果您从一个无法接触任何事物的沙盒中的智能体开始，那它毫无价值。很快，您就会陷入赋予它更多能力的竞赛。那么，您的沙盒还有什么意义？”智能体的价值来自访问权限。每一次访问授权都是一个攻击面。

治理差距是预算问题

IEEE高级会员Kayne McGladrey在接受VentureBeat独家采访时描述了这一结构性挑战。”首席信息安全官(CISO)没有预算。首席信息安全官没有人员。我们可以观察风险，可以就业务风险提供建议，但我们不拥有那些受风险影响的业务系统，”McGladrey表示。当智能体治理跨越六个部门的预算时，没有一位高管能够确认智能体是否获得了与人类相同的访问审查。

Okta的调查量化了这种脱节。只有43%的员工表示智能体政策清晰，而高管中这一比例为65%，近三分之二对智能体应用的控制弱于对人类的控制。每天部署智能体的人员并不认可其领导层声称已建立的治理态势。

Qualtrics首席安全官、前PayPal首席信息安全官Assaf Keren直言不讳地说。”真正的风险不是始于AI系统的实施。事实是基础架构没有建立好。当我们将AI系统建立在架构不佳的基础上时，我们正在加速裂缝的形成。”Keren称运行时行为分析是”当前尚未解决的问题”。