As medidas de proteção não são triviais, pois o ataque não explora uma falha de software que possa ser corrigida com um patch: Proteja seu DSN do Sentry — embora seja uma credencial pública por design, restrinja o domínios permitidos para ingestão de eventos e monitore eventos suspeitos com payloads longos ou markdown incomum Limite o que o agente de IA pode executar — não dê permissões totais ao agente. Use sandboxing e exija confirmação humana antes de executar comandos do sistema Monitore as respostas do Sentry MCP — implemente validação extra entre o que o MCP retorna e o que o agente executa Rotacione credenciais regularmente — se houver qualquer suspeita de comprometimento, rotacione todas as chaves de API, tokens Git e variáveis de ambiente Avalie alternativas ao fluxo Sentry-MCP — considere desconectar o MCP do Sentry ou usar filtros de conteúdo mais agressivos antes de passar dados para o agente de IA

Agentjacking: ataque via Sentry hackeia IA de código

Ataque “Agentjacking” hackeia agentes de IA

Pesquisadores da Tenet Security revelaram uma nova classe de ataque que engana agentes de IA de programação — como Claude Code e Cursor — para executar código malicioso nas máquinas dos próprios desenvolvedores. O ataque, batizado de “Agentjacking”, explora o Sentry, plataforma open-source de monitoramento de erros usada por milhares de empresas. A descoberta mostra que, à medida que desenvolvedores brasileiros adotam agentes de IA para programar, eles podem estar abrindo uma porta silenciosa para invasores.

Segundo o relato do The Hacker News, o ataque tem uma taxa de sucesso de 85% e já expôs pelo menos 2.388 organizações com credenciais Sentry vulneráveis. O pior: o invasor nunca precisa tocar na infraestrutura da vítima.

Como o ataque funciona

O Agentjacking explora uma falha arquitetônica na intersecção entre dois sistemas: o Sentry, que recebe eventos de erro de qualquer fonte, e o Sentry MCP server, que serve esses dados como “saída confiável do sistema” para agentes de IA. O fluxo é o seguinte:

O invasor encontra o Sentry DSN (Data Source Name) do alvo — uma credencial pública, somente escrita, embutida em websites
Envia um evento de erro malicioso ao endpoint de ingestão do Sentry via POST, usando esse DSN
O evento injetado contém markdown formatado no campo de mensagem e nos nomes de chaves de contexto
Quando o desenvolvedor pede ao seu agente de IA para “corrigir problemas do Sentry”, o agente consulta o Sentry via MCP e recebe o evento malicioso
O agente executa o código do atacante, com os privilégios totais do desenvolvedor

Como os pesquisadores Ron Bobrov, Barak Sternberg e Nevo Poran explicaram na divulgação da Tenet Security: “A instrução maliciosa chega disfarçada como uma ‘Resolução’ legítima dentro de um erro comum. Quando o desenvolvedor pede ao agente de IA para corrigir o problema do Sentry, o agente lê o comando do atacante como orientação confiável e o executa — com os próprios privilégios do desenvolvedor, na própria máquina.”

O que pode ser roubado

Um ataque bem-sucedido do Agentjacking pode expor dados sensíveis sem depender de phishing ou comprometimento prévio do servidor:

Variáveis de ambiente (incluindo chaves de API e senhas de banco de dados)
Credenciais Git e URLs de repositórios privados
Identidades de desenvolvedores e tokens de acesso
Chaves SSH e certificados de deploy
Segredos armazenados em arquivos .env e configurações

A Tenet Security testou o ataque de forma controlada contra mais de 100 organizações, alcançando 85% de taxa de exploração contra erros injetados em alguns dos assistentes de programação com IA mais utilizados do mercado.

Por que o Sentry não corrige

A Sentry reconheceu o problema, mas optou por não corrigi-lo. A empresa declarou que a vulnerabilidade é “tecnicamente indefensável” em sua arquitetura atual. No entanto, ativou um filtro global de conteúdo que bloqueia uma “string específica de payload” — uma medida paliativa que não resolve o problema fundamental.

O cerne da questão é o protocolo MCP (Model Context Protocol). Quando um agente de IA se conecta a serviços externos via MCP, ele confia implicitamente nos dados recebidos. Como o agente não consegue distinguir entre um evento de erro gerado por uma falha real do aplicativo e um injetado por um invasor, ele cria um caminho para execução arbitrária de código quando processa a resposta. Esse mesmo protocolo já foi explorado em outros contextos — a escalação de privilégios no Linux via MCP demonstrou como o MCP pode ser vetor de ataques sofisticados.

Impacto para desenvolvedores brasileiros

O uso de agentes de IA para programação explodiu no Brasil. Claude Code, Cursor, GitHub Copilot e Windsurf fazem parte do fluxo de trabalho de milhares de desenvolvedores brasileiros, de startups a grandes empresas. O Sentry é igualmente ubíquo — praticamente qualquer aplicação web brasileira de médio porte usa Sentry para monitoramento de erros.

A combinação é explosiva. Um desenvolvedor brasileiro que usa Claude Code para corrigir bugs reportados pelo Sentry pode estar executando código malicioso sem saber. Empresas de tecnologia no Brasil que integraram agentes de IA aos seus pipelines de desenvolvimento precisam avaliar imediatamente se seus DSNs do Sentry estão expostos. Ameaças que misturam IA e infraestrutura de desenvolvimento não são novidade — o worm Miasma já havia demonstrado como repositórios de código podem ser envenenados para atingir desenvolvedores.

Como a pesquisa relacionada sobre vulnerabilidades em frameworks de IA do Check Point demonstra, classes clássicas de vulnerabilidade como injeção de SQL tornam-se muito mais perigosas quando se manifestam dentro de frameworks de agentes de IA que carregam acesso e confiança elevados.

Como se proteger

As medidas de proteção não são triviais, pois o ataque não explora uma falha de software que possa ser corrigida com um patch:

Proteja seu DSN do Sentry — embora seja uma credencial pública por design, restrinja o domínios permitidos para ingestão de eventos e monitore eventos suspeitos com payloads longos ou markdown incomum
Limite o que o agente de IA pode executar — não dê permissões totais ao agente. Use sandboxing e exija confirmação humana antes de executar comandos do sistema
Monitore as respostas do Sentry MCP — implemente validação extra entre o que o MCP retorna e o que o agente executa
Rotacione credenciais regularmente — se houver qualquer suspeita de comprometimento, rotacione todas as chaves de API, tokens Git e variáveis de ambiente
Avalie alternativas ao fluxo Sentry-MCP — considere desconectar o MCP do Sentry ou usar filtros de conteúdo mais agressivos antes de passar dados para o agente de IA

A lição sobre confiança em IA

O Agentjacking revela um problema mais profundo que vai além do Sentry. À medida que agentes de IA se integram a mais serviços via MCP — GitHub, Jira, Slack, bancos de dados —, cada ponto de integração se torna um vetor potencial de ataque. O invasor não precisa invadir nada. Basta injetar dados em um serviço que o agente já confia.

Como a Tenet Security observou: “O ataque bypassa EDR, WAF, IAM, VPN, Cloudflare e firewalls — porque não há nada malicioso para detectar. Cada ação na cadeia é autorizada.” Essa é a essência do problema. As ferramentas de segurança tradicionais não conseguem identificar um ataque onde cada etapa individual parece legítima.

Para o ecossistema brasileiro de tecnologia, que adotou agentes de IA de programação com entusiasmo mas nem sempre com a devida cautela de segurança, o Agentjacking é um alerta urgente. A velocidade que esses agentes trazem ao desenvolvimento vem acompanhada de um risco que a maioria dos desenvolvedores ainda não avalia. A IA já é usada tanto para atacar quanto para defender — e o Agentjacking mostra que ela também pode ser o próprio alvo.