Introduction : La surface d'attaque que personne n'avait vue venir
Les agents de codage IA ont été adoptés à une vitesse extraordinaire. Claude Code a franchi le cap du million d'utilisateurs actifs quotidiens en quelques semaines seulement après son lancement. Cursor est passé d'un simple fork de VS Code à l'éditeur par défaut de toute une génération de développeurs natifs de l'IA. Codex CLI est devenu la réponse d'OpenAI au paradigme de l'agent dans le terminal. Collectivement, ces outils tournent désormais quotidiennement sur des centaines de milliers de machines de développeurs — avec un accès au système de fichiers, des droits d'exécution shell et (via MCP) des connexions à des services externes comme les bases de données, les API et les plateformes de surveillance.
L'hypothèse de sécurité était simple : ces agents s'exécutent localement, derrière la pile de sécurité existante du développeur — EDR, pare-feu, VPN, WAF, IAM. Si rien de malveillant n'entre dans la machine, rien de malveillant ne se produit.
Tenet Security vient de prouver que cette hypothèse est erronée.
(Source : The Hacker News)
Comment fonctionne AgentJacking : La chaîne d'attaque
L'attaque est d'une simplicité élégante. Elle nécessite deux ingrédients :
Une clé DSN Sentry publique. Ces clés sont régulièrement exposées dans le JavaScript côté client, les dépôts publics et la documentation. Les chercheurs ont trouvé 2 388 organisations avec des clés DSN accessibles publiquement.
Une seule requête HTTP POST vers l'API d'ingestion d'événements de Sentry. Aucun exploit, aucune vulnérabilité dans le code de Sentry — juste l'API normale faisant exactement ce pour quoi elle a été conçue : accepter des événements d'erreur.
Voici la chaîne complète, étape par étape :
Étape 1 — Reconnaissance. L'attaquant trouve la clé DSN Sentry d'une organisation cible. C'est souvent un exercice de 30 secondes : chercher sur GitHub, inspecter le bundle d'une application web, ou interroger Shodan pour trouver des endpoints Sentry.
Étape 2 — Confection de la charge utile. L'attaquant construit un faux événement d'erreur Sentry. La charge utile est structurellement identique à une erreur légitime — même enveloppe JSON, mêmes champs. Mais à l'intérieur de la description de l'erreur, une section « Résolution » rendue en markdown contient une instruction que l'attaquant souhaite voir exécuter par l'agent, généralement une commande npx.
Étape 3 — Injection. L'attaquant envoie l'événement via POST https://sentry.io/api/{org_id}/store/. Aucune authentification au-delà de la clé DSN n'est requise — c'est ainsi que l'API publique de Sentry est conçue.
Étape 4 — Le développeur déclenche l'agent. Le développeur, voyant une erreur Sentry dans son tableau de bord (ou ayant configuré son agent pour surveiller Sentry), demande à Claude Code, Cursor ou Codex : « Corrige les erreurs Sentry. »
Étape 5 — MCP transmet la charge utile à l'agent. Le serveur MCP Sentry récupère l'événement d'erreur et le présente à l'agent comme un contexte structuré. Le markdown est rendu — titres, blocs de code, la section de résolution fabriquée — tout est impossible à distinguer d'une véritable erreur Sentry.
Étape 6 — L'agent exécute le code de l'attaquant. L'agent lit les instructions déguisées en markdown, les interprète comme la correction, et exécute la commande npx de l'attaquant sur la machine même du développeur, avec tous les privilèges du développeur. La commande pourrait exfiltrer des clés API, installer un shell inversé, modifier le code source, ou pivoter vers l'infrastructure interne.
Les chiffres : 85 % de réussite, 2 388 organisations exposées
Les recherches de Tenet Security, menées par Ron Bobrov, Barak Sternberg et Nevo Poran, n'étaient pas théoriques. Ils ont testé l'attaque contre plus de 100 organisations consentantes dans des environnements contrôlés.
| Métrique | Valeur |
|---|---|
| Taux de réussite | 85 % |
| Organisations exposées | 2 388 |
| Agents concernés | Claude Code, Cursor, Codex CLI |
| Complexité | Une seule requête HTTP POST |
| Détection par EDR/WAF | 0 % |
Les 15 % qui ont résisté ne l'ont pas fait grâce à un contrôle de sécurité — l'agent a simplement demandé « êtes-vous sûr de vouloir exécuter cette commande ? » et le développeur, s'il était attentif, a refusé.
La réponse de Sentry : « Techniquement indéfendable »
Sentry a reconnu le problème le 3 juin 2026 mais a refusé de mettre en œuvre une correction à la racine du problème. Selon Sentry, filtrer le contenu malveillant au niveau de la plateforme est « techniquement indéfendable ».
Mais d'un point de vue plus large, cette réponse met en évidence une lacune structurelle : les serveurs MCP sont des limites de confiance, mais personne ne les traite comme telles.
Le problème de confiance du MCP : Au-delà de Sentry
AgentJacking n'est pas un problème Sentry. C'est un problème d'architecture MCP. Le Model Context Protocol a été conçu pour l'intégration de données, pas pour la résilience face à des adversaires. Le protocole ne fournit aucun mécanisme pour la provenance des données, l'intégrité du contenu, ou la séparation des instructions.
La réponse : Trois paris infrastructurels en une semaine
1. Tenet Security : 6 millions de dollars pour le « Pare-feu pour Agents »
Le 17 juin, Tenet Security est sortie de la clandestinité avec un tour de table d'amorçage de 6 millions de dollars pour une plateforme de sécurité au niveau des agents.
2. Agent Beacon : Télémétrie open source
Le 22 juin, Asymptote Labs a publié Agent Beacon, la première couche de télémétrie open source pour les agents IA, sous licence MIT.
3. Cloudflare Temporary Accounts
Le 19 juin, Cloudflare a lancé les Temporary Accounts for AI Agents — des comptes de 60 minutes sans OAuth.
| Couche | Problème | Solution | Fournisseur |
|---|---|---|---|
| Prévention | Données malveillantes | Inspection MCP | Tenet Security |
| Visibilité | Absence d'audit | OpenTelemetry | Agent Beacon |
| Confinement | Accès illimité | Bac à sable 60 min | Cloudflare |
Ce que les développeurs peuvent faire dès aujourd'hui
- Auditez vos connexions MCP
- Rotation des clés DSN exposées
- Confirmation de commande pour les paquets externes
- Déployez une télémétrie au niveau de l'agent
- Considérez MCP comme une limite de confiance
- Cloisonnez les déploiements des agents
FAQ
Q : AgentJacking est-il exploité activement ?
Il n'y a aucune preuve d'exploitation active au 22 juin 2026.
Q : MCP est-il fondamentalement cassé ?
Non. MCP a été conçu pour l'intégration de données. Il a besoin d'un modèle de confiance qu'il ne possède pas actuellement.
Q : Devrais-je arrêter d'utiliser les agents de codage IA ?
Non. 96 % des organisations avec des agents en production déclarent un ROI conforme ou supérieur aux attentes.
Cet article a été initialement publié sur The Agent Report.
Top comments (0)