Agentjacking: Como um simples log de erro transforma um assistente de IA em um executor de ordens maliciosas
Uma nova técnica de ataque, denominada Agentjacking, explora logs de erro falsificados para manipular assistentes de IA, transformando-os em executores de código arbitrário. A vulnerabilidade reside na forma como os agentes de IA processam informações de fontes externas, como relatórios de falhas.
MundiX News·24 de junho de 2026·4 min de leitura·👁 1 views
A automação de tarefas rotineiras por meio de assistentes de Inteligência Artificial (IA) tornou-se uma prática cada vez mais comum no desenvolvimento de software. No entanto, uma nova metodologia de ataque, batizada de Agentjacking, revela um risco alarmante: até mesmo um relatório de erro comum pode ser manipulado para instruir um assistente de IA a executar código malicioso em uma máquina de trabalho. Especialistas da Tenet Threat Labs demonstraram essa técnica, onde relatórios falsificados do Sentry induzem agentes de IA a cumprir as diretrizes de um atacante.
No cenário explorado, o invasor não necessita de credenciais de acesso ou permissões na rede interna da empresa. A exploração se inicia pela identificação do identificador do projeto Sentry (DSN) em código-fonte publicamente acessível. Frequentemente, esses DSNs ficam expostos, pois são utilizados pelas aplicações para o envio de relatórios de erros. Com essa informação em mãos, o atacante pode forjar e enviar um relatório falso para o Sentry. O mecanismo de ataque se baseia na injeção de instruções, onde o conteúdo malicioso é disfarçado dentro do relatório utilizando a sintaxe Markdown. Quando um desenvolvedor solicita ao assistente de IA que analise um problema através do servidor MCP do Sentry, o agente interpreta o relatório falso como contexto de trabalho e pode, inadvertidamente, considerar as instruções embutidas como tarefas confiáveis.
Na demonstração realizada pela Tenet, uma seção falsa de solução instruía o agente a executar um comando específico: npx @tenet-controlled-validation-package --diagnose. Essa instrução resultava no download e execução de um pacote npm controlado pela Tenet, hospedado em um registro público. Os especialistas avaliaram que o mesmo vetor poderia ser empregado para a execução remota de código, substituindo o pacote de teste por um pacote malicioso. A Tenet testou essa técnica em ambientes com Claude Code, Cursor e OpenAI Codex, operando em Windows, macOS e em cadeias de processamento automatizadas na nuvem. Durante o período de testes, que se encerrou em 17 de junho de 2026, foram identificadas 2.388 organizações com DSNs Sentry expostos. Em mais de 100 empresas globais, assistentes de IA executaram código controlado pela Tenet. O risco real transcende a simples execução de comandos; um pacote malicioso poderia operar com os privilégios da conta local do desenvolvedor, buscando extrair segredos como chaves da AWS, tokens do GitHub ou chaves SSH. Ferramentas de segurança convencionais podem falhar em detectar essa cadeia de ataque, pois as ações se assemelham ao comportamento de ferramentas confiáveis e de um usuário autorizado.
A Tenet reportou a vulnerabilidade ao Sentry em 3 de junho de 2026. Segundo a empresa, o Sentry implementou um filtro para bloquear o texto específico utilizado na demonstração. Contudo, a natureza intrínseca do problema dificulta uma correção universal, uma vez que os agentes de IA nem sempre conseguem distinguir dados não confiáveis de instruções legítimas. Para mitigar esse risco, a Tenet disponibilizou uma ferramenta gratuita, o Agent-JackStop, projetada para fortalecer a proteção de Cursor e Claude Code contra injeções de instruções provenientes de fontes externas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A automação de tarefas rotineiras por meio de assistentes de Inteligência Artificial (IA) tornou-se uma prática cada vez mais comum no desenvolvimento de software. No entanto, uma nova metodologia de ataque, batizada de Agentjacking, revela um risco alarmante: até mesmo um relatório de erro comum pode ser manipulado para instruir um assistente de IA a executar código malicioso em uma máquina de trabalho. Especialistas da Tenet Threat Labs demonstraram essa técnica, onde relatórios falsificados do Sentry induzem agentes de IA a cumprir as diretrizes de um atacante.
No cenário explorado, o invasor não necessita de credenciais de acesso ou permissões na rede interna da empresa. A exploração se inicia pela identificação do identificador do projeto Sentry (DSN) em código-fonte publicamente acessível. Frequentemente, esses DSNs ficam expostos, pois são utilizados pelas aplicações para o envio de relatórios de erros. Com essa informação em mãos, o atacante pode forjar e enviar um relatório falso para o Sentry. O mecanismo de ataque se baseia na injeção de instruções, onde o conteúdo malicioso é disfarçado dentro do relatório utilizando a sintaxe Markdown. Quando um desenvolvedor solicita ao assistente de IA que analise um problema através do servidor MCP do Sentry, o agente interpreta o relatório falso como contexto de trabalho e pode, inadvertidamente, considerar as instruções embutidas como tarefas confiáveis.
Na demonstração realizada pela Tenet, uma seção falsa de solução instruía o agente a executar um comando específico: npx @tenet-controlled-validation-package --diagnose. Essa instrução resultava no download e execução de um pacote npm controlado pela Tenet, hospedado em um registro público. Os especialistas avaliaram que o mesmo vetor poderia ser empregado para a execução remota de código, substituindo o pacote de teste por um pacote malicioso. A Tenet testou essa técnica em ambientes com Claude Code, Cursor e OpenAI Codex, operando em Windows, macOS e em cadeias de processamento automatizadas na nuvem. Durante o período de testes, que se encerrou em 17 de junho de 2026, foram identificadas 2.388 organizações com DSNs Sentry expostos. Em mais de 100 empresas globais, assistentes de IA executaram código controlado pela Tenet. O risco real transcende a simples execução de comandos; um pacote malicioso poderia operar com os privilégios da conta local do desenvolvedor, buscando extrair segredos como chaves da AWS, tokens do GitHub ou chaves SSH. Ferramentas de segurança convencionais podem falhar em detectar essa cadeia de ataque, pois as ações se assemelham ao comportamento de ferramentas confiáveis e de um usuário autorizado.
A Tenet reportou a vulnerabilidade ao Sentry em 3 de junho de 2026. Segundo a empresa, o Sentry implementou um filtro para bloquear o texto específico utilizado na demonstração. Contudo, a natureza intrínseca do problema dificulta uma correção universal, uma vez que os agentes de IA nem sempre conseguem distinguir dados não confiáveis de instruções legítimas. Para mitigar esse risco, a Tenet disponibilizou uma ferramenta gratuita, o Agent-JackStop, projetada para fortalecer a proteção de Cursor e Claude Code contra injeções de instruções provenientes de fontes externas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
