Agentjacking 深度分析：一封伪造的 Sentry 错误报告如何攻陷 Fortune 100 企业的 AI 编码 Agent

2026 年 6 月，Tenet Security 的威胁研究团队公开了一种针对 AI 编码 Agent 的新型攻击方式——Agentjacking。攻击者不需要破解密码、不需要注入恶意代码、不需要诱骗开发者点击链接——只需要向 Sentry 发送一封伪造的错误报告，就能让 AI 编码 Agent 自主执行攻击者控制的代码。

更令人震惊的是：在受控测试中，Tenet 团队确认超过 100 家组织的 AI Agent 执行了攻击者的代码，其中包括一家市值 2500 亿美元的 Fortune 100 科技巨头。

这不是理论漏洞演示，这是在真实世界中发生的、已经被验证的攻击。

Agentjacking 攻击链：一个无需突破的突破

Agentjacking 的核心原理并不复杂，但它揭示了 AI 编码 Agent 生态中一个根本性的安全缺陷：

AI 编码 Agent 无法区分常规数据和攻击指令。

攻击链路分五步完成，每一步都是授权操作，因此没有任何现有安全工具会触发警报：

第一步：找到目标 Sentry DSN

Sentry 的错误监控服务需要客户端 SDK 接入，客户端需要一个 DSN（Data Source Name）密钥。这个密钥被 Sentry 官方文档标识为公开凭证——它嵌入在网站前端 JavaScript 中，用于从浏览器直接发送错误事件给 Sentry。你可以通过检查任意网站页面源码的