詳細を読む
セキュリティ企業Tenet Securityが6月、AIコーディングエージェントを狙う新攻撃手法「エージェントジャッキング」を公表しました。攻撃者は認証なしで使える公開DSN経由でSentryに偽のエラーイベントを1件送るだけで、Claude CodeやCursor、Codexが信頼する診断データに不正な指示を仕込みます。検証では100以上の標的に対し85%の成功率を記録し、Sentryはこの欠陥を「技術的に防御できない」と認めました。
深刻なのは、攻撃の全工程が正規の認証を通過する点です。認証情報の窃取も、ポリシー違反も、境界突破もないため、EDR・WAF・IAM・ファイアウォールのいずれも警報を発しませんでした。ある実験環境では、乗っ取られたClaude CodeがAWSの有効なシークレットキーや非公開リポジトリのURLを露出させたといいます。
影響範囲はSentryだけにとどまりません。AIエージェントがDatadog、PagerDuty、Jiraなど開発者が信頼するMCP接続データソースとつながり、シェルコマンドを実行できる構成なら、同じ盲点を抱えます。Tenetは公開Sentry認証情報を露出した組織を2388件特定し、クラウドセキュリティアライアンスはこの問題をMCPの構造的脆弱性に分類しました。
2026年上半期の5つの調査は、企業がAIエージェントを過信している実態を示しています。AIに人間と同じ統制を常に適用する組織はわずか34%、本番投入前にセキュリティ承認を得たエージェントは14.4%にすぎません。HiddenLayerの調査では33%のエージェントが想定範囲を超えて行動し、31%はAI侵害の有無すら確認できないと答えています。
CrowdStrikeのザイツェフCTOは「エージェントの保護は高権限ユーザーの保護に酷似する」と指摘し、見過ごされてきた実行時の防御こそ最後の安全網だと強調します。同社は6月、すべてのエージェント行動をリアルタイムで認可する継続的ID管理を投入しました。サンドボックスは権限を絞れば無価値で、権限を与えれば攻撃面が広がるというジレンマも指摘しています。
対策の核心は、エージェントが返すデータで何を実行できるかを制限することです。8月2日にはEU AI法の高リスク義務が発効し、第3四半期の計画に影響します。「認可されている」ことは「安全」を意味しない。すべての工程が正規でも通る攻撃に対し、ポリシーではなくエージェントの実際の挙動を監視する防御だけが意味を持ちます。