Claude Code·Cursor·Codex 등 AI 코딩 에이전트를 노린 신종 해킹 '에이전트재킹'이 공개됐어요. 단 1개의 HTTP 요청으로 AWS 키·GitHub 토큰·DB 비밀번호까지 탈취하는 공격이에요. 성공률 85%, 이미 2,388개 기업이 노출된 상태라고 Tenet Security가 밝혔어요.
요즘 Claude Code나 Cursor 없이 개발하는 사람이 드물 정도로, AI 코딩 에이전트가 개발 워크플로에서 핵심이 됐어요. 근데 그 편리함 뒤에 꽤 심각한 취약점이 숨어 있었다는 게 공개됐어요. 보안 회사 Tenet Security가 '에이전트재킹(Agentjacking)'이라고 이름 붙인 신종 공격 방식이에요. AI 코딩 툴을 쓰는 개발자라면 진지하게 읽어야 해요. 🔥
공격의 핵심은 Sentry예요. 팀 개발에서 에러 트래킹으로 많이 쓰는 그 Sentry. AI 코딩 에이전트들은 개발 과정에서 Sentry가 수집한 에러 리포트를 MCP(Model Context Protocol) 채널을 통해 자동으로 가져와서 읽어요. 문제는 에이전트가 그 데이터를 '믿을 수 있는 진단 가이드'로 처리한다는 거예요. 공격자는 이걸 역이용해서 악성 마크다운 명령을 Sentry 에러 이벤트 안에 심어놓아요.
에이전트가 그 리포트를 읽는 순간, 악성 명령을 정상적인 디버그 절차로 착각하고 그대로 실행해버려요. 특히 무서운 건 공격에 인증이 전혀 필요 없다는 거예요. Sentry DSN(Data Source Name)은 공개 자격증명이라서, 누구든 HTTP POST 요청 하나만 보내면 Sentry에 악성 이벤트를 심을 수 있거든요. Claude Code, Cursor, OpenAI Codex 세 가지 에이전트 모두에서 성공률 85%가 확인됐어요. 📊
탈취되는 정보도 장난이 아니에요. AWS 액세스 키와 세션 토큰, GitHub OAuth 토큰(비공개 레포 전체 접근), Kubernetes 서비스 어카운트 토큰, npm·Artifactory 패키지 레지스트리 토큰, 그리고 DB 커넥션 스트링과 결제 API 키까지요. 개발자 환경에 있는 거의 모든 시크릿이 한 번에 노출될 수 있어요.
Tenet Security가 6월 3일 Sentry에 취약점을 제보했고, Sentry는 콘텐츠 필터를 추가했어요. 하지만 솔직히 이게 근본 해결은 아니에요. 핵심 문제는 AI 에이전트가 외부 시스템에서 온 데이터를