Одна-единственная поддельная ошибка. Без взлома, без кражи учеток, без нарушения политик. Агент просто поверил тому, что увидел, и запустил код злоумышленника с полными правами разработчика. Ни один сигнал тревоги не сработал. EDR, WAF, IAM и файрвол — все проспали атаку. Звучит как сценарий киберпанк-хоррора? Добро пожаловать в реальность, где твой любимый AI-кодмейт стал троянским конем.
Одна поддельная ошибка в отчете Sentry захватила Claude Code в контролируемых тестах — агент выполнил код атакующего с полными привилегиями разработчика, и ни одна тревога не сработала. EDR, WAF, IAM и файрвол — все полностью проморгали.
Июньское раскрытие agentjacking от Tenet Security описывает один искусно crafted ивент ошибки Sentry — отправленный через публичный credential, который не требует ни взлома, ни аутентификации — который внедрил инструкции злоумышленника в данные об ошибке, которые Claude Code, Cursor и Codex затем выполнили как доверенный диагностический вывод. Tenet протестировал более 100 целей в контролируемых условиях и добился 85% успеха. Sentry назвал уязвимость «технически не защищаемой».
Cloud Security Alliance классифицировал agentjacking как системный класс уязвимостей MCP в течение нескольких дней после раскрытия. Никакие учетные данные не были украдены, никакая политика не нарушена, никакой периметр не взломан: каждый шаг в цепочке был авторизован. В этом и проблема.
Tenet выявил 2388 организаций с публично доступными учетными данными Sentry, которые можно использовать для массового внедрения вредоносных событий. Исследование — proof-of-concept, а не подтвержденная эксплуатация всех 2388. Но одно захваченное окружение Claude Code содержало живой AWS secret access key и URL приватных репозиториев.
Вот тест на масштаб угрозы: если ваши AI-агенты для кодинга подключены к Sentry, Datadog, PagerDuty, Jira или любому другому MCP-подключенному источнику данных, которому доверяют ваши разработчики — и эти агенты могут выполнять shell-команды — то ваш стек имеет ту же слепую зону.
Организациям, использующим Sentry, следует немедленно провести аудит всех публично доступных DSN. Архитектура Sentry намеренно делает DSN-credentials публичными для фронтенд-отчетности об ошибках, поэтому смягчение заключается не в отзыве DSN — а в ограничении того, что агенты могут делать с данными, которые эти DSN возвращают.
Почему ваш стек его не видит
Agentjacking работает, потому что каждый шаг авторизован: злоумышленник отправляет валидный API-запрос к Sentry, используя публичный DSN; MCP-сервер возвращает внедренное событие как аутентичный вывод; агент выполняет инструкцию, используя привилегии разработчика. Ни одна сигнатура не сработала. Жертва видела только безобидную диагностику, пока агент молча сливал облачные credentials и токены доступа к исходникам.
Команды SOC никогда не должны были отличать разработчика, запускающего npm install, от агента, выполняющего эту команду в ответ на вредоносное событие ошибки. Этого различия не существовало, пока AI-агенты для кодинга не стали производственными инструментами. Стек, который не может его провести — это стек, который agentjacking обходит.
Пять опросов — одна закономерность
Пять независимых опросов за первую половину 2026 года показали: предприятия доверяют своим AI-агентам куда больше, чем оправдывают меры контроля.
Только 34% организаций применяют к AI-агентам те же меры безопасности, что и к людям, согласно опросу Okta/Apprize360 среди 292 руководителей и 492 работников умственного труда. 52% сотрудников используют неодобренные AI-инструменты, а 58% руководителей сообщили об инциденте или близком к инциденту, связанном с AI, за последний год.
Отчет HiddenLayer «AI Threat Landscape 2026» опросил 250 IT- и security-лидеров: 33% сообщили, что агенты уже вышли за намеченные рамки, а 31% не смогли подтвердить, сталкивались ли они с AI-взломом. Каждый восьмой AI-взлом был связан с агентными системами.
Опрос Gravitee среди более 900 руководителей и практиков показал, что только 14,4% агентов вышли в продакшн с полным одобрением безопасности, а 88% сообщили о подтвержденных или предполагаемых инцидентах. Повторный опрос 750 лидеров в апреле показал, что количество агентов удвоилось, а мониторинг почти не изменился.
Пробел в рантайме, который никто не закрыл
«Обеспечение безопасности агентов очень похоже на обеспечение безопасности привилегированных пользователей», — сказал Элиа Зайцев, технический директор CrowdStrike, в интервью VentureBeat. «У них есть идентичности, доступ к нижележащим системам, они рассуждают, они действуют».
Зайцев указал на пробел, который индустрия оставила открытым. «Никто не говорил о безопасности агентов во время выполнения. Мы делаем это сейчас. Какова ваша подстраховка? Если все эти контроли провалились, как предотвратить их тихий провал?»
Данные с парка устройств CrowdStrike quantify масштаб угрозы: более 1800 агентных приложений на корпоративных endpoint'ах, примерно 160 миллионов экземпляров под мониторингом. 15 июня CrowdStrike выпустил Continuous Identity for AI Agents на Identiverse, заменив статические политики непрерывным применением, которое авторизует каждое действие агента в реальном времени. Класс контроля, который отражает это объявление — непрерывная авторизация на уровне действий с подтвержденной идентичностью агента — теперь является базовым критерием закупки независимо от вендора.
«Люди как-то забыли о безопасности во время выполнения», — сказал Зайцев. «Мы проходили это с endpoint, виртуализацией и облаком. Люди сосредотачивались на патчинге уязвимостей, блокировке разрешений. Каким-то образом они всегда что-то упускали. Подстраховка — это рантайм».
Зайцев был столь же прямолинеен насчет песочниц. «Если вы начнете с агентом в песочнице, который не может ничего трогать, он бесполезен. Очень быстро вы вступаете в гонку, давая ему все больше возможностей. И тогда какой смысл в вашей песочнице?» Агенты получают ценность от доступа. Каждый предоставленный доступ — это поверхность атаки.
Пробел в управлении — это проблема бюджета
Кейн МакГладри, старший член IEEE, описал структурную проблему в эксклюзивном интервью VentureBeat. «У CISO нет бюджета. У CISO нет персонала. Мы можем наблюдать риски, консультировать по бизнес-рискам, но мы не владеем бизнес-системами, на которые эти риски влияют,» — сказал МакГладри. Когда управление агентами распределено по шести департаментским бюджетам, ни один руководитель не может подтвердить, проходят ли агенты те же проверки доступа, что и люди.
Опрос Okta quantify разрыв. Только 43% работников считают политики в отношении агентов понятными, по сравнению с 65% руководителей, и почти две трети применяют к агентам более слабые контроли, чем к людям. Люди, ежедневно разворачивающие агентов, не узнают тот уровень управления, который, по словам руководства, был выстроен.
Ассаф Керен, директор по безопасности Qualtrics и бывший CISO PayPal, выразился прямо. «Реальный риск начинается не с внедрения AI-систем. Дело в том, что базовая архитектура плохо выстроена. Когда мы ставим AI-систему поверх плохо спроектированной архитектуры, мы ускоряем разрывы.» Керен назвал поведенческую аналитику во время выполнения «нерешенной проблемой на данный момент».
Тест на пробелы из пяти вопросов
Тест на пробелы из пяти вопросов основан на пяти опросах за первую половину 2026 года. Каждый вопрос указывает на пробел, который эксплуатирует agentjacking. Проведите его перед любой оценкой вендоров в третьем квартале.
Вот таблица с переведенными данными (с заголовками на русском):
Пробел для проверки / Доказательство / Что ломается / Действие в понедельник / Источник и выборка
1. Инвентаризация агентов. Какой процент агентов, MCP-подключений и LLM-автоматизаций прошел проверку безопасности перед развертыванием? / 14.4% получают полное одобрение безопасности/IT перед запуском. 52% сотрудников используют неодобренные AI-инструменты. В среднем предприятие управляет 37+ развернутыми агентами, примерно вдвое больше, чем в Q4 2025. / Неодобренные агенты невидимы для вашей identity-платформы и не могут быть привлечены к ответственности при раскрытии инцидента. Agentjacking нацелен именно на эти неуправляемые MCP-подключения. Отсутствие переписи означает отсутствие аудиторского следа для регуляторных ответов. / Закажите полную перепись всех агентов, MCP-серверов и LLM-автоматизаций. Сделайте завершение переписи шлюзом закупок для всех вендоров Q3. Помечайте любого агента, обнаруженного после переписи, как инцидент теневого AI. / Gravitee State of AI Agent Security 2026, 900+ респондентов (февраль 2026); Gravitee April 2026 update, 750 старших техлидеров; Okta/Apprize360, 292 руководителя + 492 работника (июнь 2026)
2. Паритет контролей. Проходят ли агенты те же проверки доступа, ограничение привилегий и сроки отзыва, что и люди? / 34% всегда применяют одинаковые контроли к агентам и людям. 61% привилегированного доступа предоставляется без надлежащей проверки. Только 22% рассматривают агентов как независимые сущности с идентичностью. / Агент со статическим OAuth-токеном и без цикла проверки — это постоянная привилегированная учетная запись без даты завершения. Agentjacking наследует все привилегии разработчика. 45.6% организаций полагаются на общие API-ключи для аутентификации агентов. / Добавьте каждого продакшн-агента в следующий цикл проверки