Um relatório falso no Sentry é suficiente para hackear Claude Code e Cursor
Imagine isto: você está trabalhando no seu código, vê um erro no Sentry e pede ao seu assistente de IA (como Claude Code ou Cursor) para revisá-lo e corrigi-lo. Em questão de segundos, a IA executa um comando no seu terminal para solucioná-lo. Parece mágica, não é? O problema é que alguns pesquisadores acabaram de descobrir que esse simples fluxo de trabalho pode entregar as chaves da sua empresa a um atacante.
Em meados de junho de 2026, a empresa de cibersegurança Tenet Security revelou uma técnica que batizaram de "Agentjacking". Em termos simples, é o sequestro de agentes de Inteligência Artificial que escrevem código. E o mais preocupante é que não requer phishing, nem instalação de malware, nem violar a rede da empresa previamente.
Como funciona a armadilha?
Tudo gira em torno de como as ferramentas de monitoramento se conectam à IA. Sentry, que é super popular para detectar falhas em aplicativos, usa chaves públicas chamadas DSN (Data Source Name). Sua função é receber relatórios de erros dos usuários de forma passiva.
Os atacantes descobriram que podem pegar um DSN público de qualquer empresa e enviar um relatório de erro falso. Este relatório está disfarçado com formato de código, mas dentro dele há instruções ocultas.
Quando o desenvolvedor pede ao Claude Code, Cursor ou Codex que se conecte ao Sentry (usando o protocolo MCP) para ver o que falhou, a IA lê o erro. Como os agentes atuais não sabem distinguir entre texto informativo e comandos executáveis, a IA pega o código malicioso do atacante e o executa diretamente no computador do desenvolvedor, pensando que são os passos recomendados para resolver o problema.
As consequências do Agentjacking
Nos testes realizados pela Tenet Security, tiveram um sucesso de 85% enganando as IAs. Conseguiram fazer com que os assistentes executassem comandos que roubavam variáveis de ambiente, tokens do GitHub, chaves da AWS e senhas locais na máquina do programador. Chegaram até a comprometer a estação de trabalho de um desenvolvedor dentro de uma empresa de tecnologia avaliada em 250 bilhões de dólares.
O ataque afeta principalmente o Claude Code, Cursor e Codex, pois são os que interagem com ferramentas externas. Vale a pena esclarecer que isso não é uma falha direta do Datadog ou Jira (como se rumorava erroneamente em alguns fóruns), mas sim um problema de arquitetura sobre como os agentes de IA confiam cegamente no que leem de fontes externas como o Sentry.
O que fazer a respeito?
Sentry já reconheceu o problema e aplicou filtros globais para bloquear a injeção dessas cadeias de código malicioso. Além disso, a Tenet lançou uma ferramenta gratuita chamada Agent-JackStop para mitigar o risco.
Se sua equipe usa assistentes de código conectados a repositórios ou ferramentas de monitoramento, a recomendação é clara: audite as permissões que você dá à IA. Um assistente não deve ter liberdade absoluta para executar comandos no terminal sem antes requerer a aprovação humana. A IA é excelente para sugerir soluções, mas deixá-la executar comandos cegamente com base em logs públicos é jogar roleta russa com a segurança da empresa.
