假报错可让Claude Code替黑客跑代码

黑客现在懒得攻你的服务器了。

他只要往你公司的报错系统里塞一条假的 bug 报告,你的 AI 编程助手——Claude Code、Cursor、Codex 随便哪个——就会自己照着上面的“修复建议”跑代码。然后 AWS 密钥、GitHub token、数据库密码,一股脑送出去。

这不是设想。安全公司 Tenet Security 上周把这套攻击手法公开了,起了个名字叫 Agentjacking,劫持 AI 助手的意思。他们实测了一圈,2388 家公司的大门是敞开的,其中一家市值 2500 亿美元、稳坐财富 100 强的巨头,照样被打穿。

这套攻击到底怎么玩的

要看懂这事,先得知道一个冷知识:几乎每个网站的前端代码里,都明晃晃地写着一个叫 Sentry DSN 的东西。

Sentry 是程序员用来收集报错的工具,DSN 是它的上报地址。这个地址被设计成公开的——就嵌在网页的 JavaScript 里,谁都能看到。本来无所谓,因为它只能往里写报错,读不了别的。

问题出在 AI 身上。

黑客拿到这个公开地址,伪造一条报错发进去。关键在内容里——他用 markdown 语法,伪造出一段看起来像 Sentry 官方给的“修复方案”。

接下来 AI 编程助手登场。它读到这条报错,看到下面跟着“修复建议”,二话不说就执行了。在它眼里,这是工具给的正经指引,不是外人塞的指令。

“每一步都是被授权的,所以没有任何安全设备拦得住。”

Tenet 这句话是整件事的要害。杀毒软件、防火墙全都失灵,因为从头到尾没有一个非法操作——AI 是自愿干的。研究员实测下来,命中率 85%,哪怕你提前嘱咐 AI 别理报错里的指令,它照样照做。

为什么这事比一般漏洞麻烦

数字摆出来更直观:

指标数据
暴露在外的公司2388 家
其中全球流量前 100 万的网站71 家
攻击成功率85%
中招的 AI 助手Claude Code、Cursor、Codex
波及环境macOS、Windows、CI/CD、云服务器全中招

一旦得手,黑客能顺走的东西包括 AWS 密钥、GitHub OAuth token、Kubernetes 凭证、SSH 通道、NPM 发布权限——基本上把一家公司的命门一锅端。

更让人无语的是 Sentry 的反应。Tenet 6 月 3 号就通知了对方,Sentry 认了这个问题,但拒绝从根上修,理由是技术上没法防。最后只加了个内容过滤,算是糊了一层。

它真正的意思

过去我们说供应链攻击,攻的是人,或者是基础设施。Agentjacking 攻的是 AI 自己。

讲人话就是——你给团队配了个不知疲倦的 AI 程序员,结果它谁的话都信,连一条伪造的报错都能把它骗去当帮凶。

Tenet 已经开源了一套叫 agent-jackstop 的配置,专门给 Cursor 和 Claude Code 加把锁。但更根本的那道题没人答上来:当干活的 AI 本身变成了攻击入口,你到底该防谁?

这个故事,显然还没讲完。

参考来源:Agentjacking: Coding Agents with Fake Sentry Errors(Tenet Security);CocoLoop、Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code(The Hacker News);New Agentjacking Attacks Could Hijack AI Coding Agents(Infosecurity Magazine)