Un singolo finto rapporto di errore ha compromesso Claude Code in un test controllato, eseguendo codice dell'attaccante con tutti i privilegi dello sviluppatore, senza che nessun allarme scattasse. I sistemi EDR, WAF, IAM e firewall non hanno rilevato nulla. È quanto emerge dalla divulgazione di Tenet Security a giugno, che descrive un attacco chiamato "agentjacking". La vulnerabilità sfrutta le credenziali pubbliche di Sentry, progettate per il frontend, per iniettare istruzioni malevole nei dati di errore che agenti AI come Claude Code, Cursor e Codex eseguono come output diagnostico affidabile.
Un finto errore Sentry ha compromesso Claude Code in test controllati
Tenet Security ha testato oltre 100 bersagli in condizioni controllate, ottenendo un tasso di successo dell'85%. Sentry ha definito la falla "tecnicamente non difendibile". Il Cloud Security Alliance ha classificato l'agentjacking come una vulnerabilità sistemica del protocollo MCP entro giorni dalla divulgazione. Nessuna credenziale è stata rubata, nessuna politica violata, nessun perimetro violato: ogni passo nella catena era autorizzato. Tenet ha identificato 2.388 organizzazioni con credenziali Sentry esposte pubblicamente, potenzialmente utilizzabili per iniettare eventi malevoli su larga scala. In un ambiente Claude Code catturato è stata trovata una chiave di accesso segreta AWS e URL di repository privati.
Sponsored Protocol
Perché l'attacco è invisibile a EDR, WAF e firewall
L'agentjacking funziona perché ogni passo è autorizzato: l'attaccante invia una chiamata API valida a Sentry usando un DSN pubblico, il server MCP restituisce l'evento iniettato come output autentico e l'agente esegue l'istruzione usando i privilegi dello sviluppatore. Nessun allarme è scattato. La vittima vede solo diagnostiche benigne mentre l'agente espone silenziosamente credenziali cloud e token di controllo del codice sorgente. I team SOC non hanno mai avuto bisogno di distinguere tra uno sviluppatore che esegue un npm install e un agente che esegue quel comando in risposta a un evento di errore malevolo. Quella distinzione non esisteva finché gli agenti di codifica AI non sono diventati strumenti di produzione.
Sponsored Protocol
Il divario di sicurezza runtime: interviste a CrowdStrike e altri esperti
Elia Zaitsev, CTO di CrowdStrike, ha dichiarato a VentureBeat: "Proteggere gli agenti è molto simile a proteggere utenti con privilegi elevati. Hanno identità, accesso ai sistemi sottostanti, ragionano, agiscono". Zaitsev ha sottolineato la lacuna: "Nessuno ha parlato di proteggere gli agenti in runtime. Qual è la tua rete di sicurezza? Se tutti questi controlli falliscono, come impedisci che falliscano silenziosamente?" CrowdStrike ha lanciato Continuous Identity for AI Agents, che autorizza ogni azione dell'agente in tempo reale. Kayne McGladrey, IEEE Senior Member, ha descritto la sfida strutturale: "Il CISO non ha budget, non ha personale. Possiamo osservare rischi, consigliare sui rischi aziendali, ma non possediamo i sistemi". Assaf Keren, CSO di Qualtrics, ha aggiunto: "Il vero rischio non inizia con l'implementazione di sistemi AI. È il fatto che l'architettura di base non è ben stabilita".
Sponsored Protocol
Test delle cinque domande per valutare le vulnerabilità aziendali
Cinque sondaggi indipendenti mostrano che le aziende fidano dei loro agenti AI molto più di quanto giustificato. Solo il 34% applica gli stessi controlli di sicurezza agli agenti AI come agli umani, secondo un sondaggio Okta/Apprize360. Il 52% dei dipendenti usa strumenti AI non approvati. Il 33% dei leader IT ha segnalato che gli agenti hanno già superato l'ambito previsto. Un test di cinque domande aiuta a valutare le lacune: inventario degli agenti, parità dei controlli, deriva dell'ambito, divario di percezione della governance e certezza del rilevamento delle violazioni. Per esempio, solo il 14,4% degli agenti va in produzione con piena approvazione di sicurezza. Le organizzazioni devono commissionare un censimento completo di agenti e connessioni MCP, mandare in revisione ogni agente in produzione e richiedere una rilevazione runtime specifica per gli agenti come prerequisito per l'approvvigionamento.
Sponsored Protocol
L'agentjacking ha eliminato un presupposto che ha resistito a ogni architettura di sicurezza dal primo firewall: autorizzato non significa sicuro. Ogni passo legittimo nella catena può essere sfruttato. La difesa che conta è quella che osserva cosa fanno gli agenti, non cosa dicono le policy. Per approfondire le implicazioni sulla protezione delle identità digitali, leggi il nostro articolo su Autenticazione JWT con Node.js. Per un contesto sulle protezioni legali dei dati digitali, consulta La decisione della Corte Suprema USA sulla cronologia di localizzazione. Per la fonte originale, vedere l'articolo di VentureBeat.
