Agentjacking gjør feillogger til angrep mot kodeagenter

Tenet Security beskriver en angrepsmetode som treffer et svakt punkt i moderne kodeagenter: de stoler ofte for mye på data fra verktøyene de er koblet til. I forskningen kaller selskapet metoden Agentjacking. Poenget er enkelt og ubehagelig: en angriper kan legge en instruks inn i en tilsynelatende vanlig feilmelding, og få en AI-agent til å behandle den som legitim veiledning fra feilovervåkingen.

Eksempelet gjelder Sentry. Sentrys DSN er normalt ment å ligge synlig i frontend-kode, slik at applikasjoner kan sende feilrapporter inn til tjenesten. Tenet viser at en angriper kan bruke en slik DSN til å sende inn en spesiallaget feilhendelse. Når en utvikler senere ber Claude Code, Cursor eller en tilsvarende kodeagent undersøke Sentry-feilen via MCP eller annen verktøykobling, kan agenten lese den plantede teksten som en del av feildiagnosen.

Derfra blir risikoen praktisk. Agenten kan forsøke å installere en pakke, kjøre en kommando eller hente informasjon fordi instruksen ser ut som et løsningsforslag. Den kjører da med utviklerens rettigheter, i utviklerens miljø. Tenet skriver at miljøvariabler, GitHub-tokens, Sentry-tokens, git-legitimasjon, private repo-URL-er og utvikleridentitet kan komme i spill dersom agenten får lov til å handle uten tilstrekkelige sperrer.

Dette er ikke et klassisk innbrudd i produksjonssystemet. Angriperen trenger ikke først å kompromittere serveren. Angriperen trenger heller ikke lure utvikleren til å oppgi passord. Trikset er å plante skadelig innhold i en datakilde som agenten senere henter inn som arbeidssignal. Det gjør angrepet særlig relevant for virksomheter som kobler kodeagenter til feilovervåking, issue-systemer, CI/CD, dokumentasjon, supportlogger og interne kunnskapsbaser.

For CIO-er og CISO-er er lærdommen brutal, men nyttig: agentens kontekst er nå en del av angrepsflaten. Det holder ikke å spørre om modellen er trygg. Man må også spørre hvilke eksterne data modellen får lese, hvilke verktøy den kan bruke, hvilke kommandoer den kan kjøre, og hvilke hemmeligheter som ligger tilgjengelig i miljøet der den jobber.

Agentjacking treffer også en blind flekk i mange pilotprosjekter. Kodeagenter testes ofte av sterke utviklere med brede lokale rettigheter, mange repo-tilganger og hemmeligheter i shell, IDE eller CI-miljø. Det gir høy fart. Det gir også en stor blast radius hvis agenten følger feil instruks. Når agenten først kan lese terminal, filer og tredjepartsverktøy, blir skillelinjen mellom data og kommando farligere.

Tiltakene er ikke mystiske. De må bare faktisk innføres. Kodeagenter bør kjøres i avgrensede miljøer med kortlivede tokens, minst mulige rettigheter og tydelige godkjenningspunkter før installasjon, nettverkskall og endringer i repo. Feilrapporter, issues og ekstern dokumentasjon bør behandles som utrygg input, ikke som instruksjoner. MCP-servere og andre agentkoblinger bør logge hva agenten leser, hva den foreslår, og hva den faktisk kjører.

Sikkerhetsteam bør også se på hemmeligheter i utviklermiljøer. Dersom en kodeagent kan lese AWS-nøkler, GitHub-tokens eller produksjonsnære credentials fra miljøvariabler, er det et styringsproblem før det er et modellproblem. Secret scanning hjelper etterpå. Det viktigste er å redusere hva agenten kan få tak i før noe skjer.

Saken er et godt eksempel på hvorfor agentstyring må inn i plattformarbeidet, ikke ligge som en policy i etterkant. Virksomheter som ruller ut Claude Code, Cursor, Copilot-lignende agenter eller interne MCP-løsninger trenger en standard for agent-runtime: isolasjon, godkjenning, logging, egress-kontroll, pakke-policy og tilgangsstyring. Ellers blir utviklerens maskin et uformelt produksjonsmiljø for AI-handlinger. Det er sjelden en god idé.

The Hacker News omtalte funnene 12. juni. Det gjør saken fersk, men viktigere er retningen. Kodeagenter blir mer nyttige fordi de kan handle. Nettopp derfor må virksomheter slutte å behandle dem som smarte chatvinduer. De er programvareaktører med verktøytilgang. Da må de sikres som programvareaktører.

Kilder og medier

• Source: Tenet Security, «A Fake Bug Report Hijacks Your AI Coding Agent – and Nothing Catches It.»
• Source URL: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/
• Additional reporting: The Hacker News, «Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code»
• Additional URL: https://thehackernews.com/2026/06/agentjacking-attack-tricks-ai-coding.html
• Thumbnail: OpenAI Image 2 / hogby.ai