การโจมตี Claude Code ผ่าน Sentry เผยช่องโหว่สู่ Datadog, PagerDuty และ Jira

Claude Code ถูกยึดโดยการโจมตีแบบ agentjacking ผ่านการส่งรายงานข้อผิดพลาดปลอมจาก Sentry ทำให้โค้ดของ AI ทำงานด้วยสิทธิของนักพัฒนาครบถ้วนโดยไม่มีการแจ้งเตือน ระบบ EDR, WAF, IAM และไฟร์วอลล์ทั้งหมดพลาดการตรวจจับเหตุการณ์นี้อย่างสมบูรณ์ การเปิดเผยนี้ชี้ให้เห็นช่องโหว่ที่อาจกระจายไปยังเครื่องมืออื่น ๆ เช่น Datadog, PagerDuty และ Jira ที่เชื่อมต่อกับระบบ MCP เดียวกัน

Overview

การวิจัยของ Tenet Security ที่เผยแพร่เมื่อเดือนมิถุนายนระบุว่าเหตุการณ์เดียวที่ส่งผ่าน Sentry error event ที่สร้างขึ้นอย่างประณีตสามารถแทรกคำสั่งของผู้โจมตีเข้าไปในข้อมูลข้อผิดพลาดได้ โค้ด AI อย่าง Claude Code, Cursor และ Codex จึงประมวลผลข้อมูลนั้นเป็นผลลัพธ์ที่เชื่อถือได้และดำเนินการตามคำสั่งโดยอัตโนมัติ โดยไม่มีการแจ้งเตือนใด ๆ จากระบบตรวจจับภัยคุกคาม

Sentry อธิบายว่าข้อบกพร่องนี้ “technically not defensible” หมายความว่าการป้องกันด้วยวิธีการดั้งเดิมไม่สามารถรับมือได้ เนื่องจากทุกขั้นตอนของการโจมตีเป็นการเรียกใช้ API ที่ได้รับอนุญาตผ่าน DSN สาธารณะ ซึ่งไม่ได้ต้องการการยืนยันตัวตนหรือการแฮ็กข้อมูลใด ๆ

Technical Details

การโจมตีทำงานโดยผู้โจมตีส่ง API call ของ Sentry ที่ใช้ DSN สาธารณะเข้ามา ระบบ MCP จะส่งกลับเหตุการณ์ที่ถูกแทรกไว้เป็นข้อมูลที่เชื่อถือได้ จากนั้นเอเย่นต์ AI จะดำเนินการคำสั่งด้วยสิทธิของนักพัฒนาเต็มรูปแบบ ซึ่งหมายความว่า:

• คำสั่ง shell ถูกเรียกใช้โดยไม่มีการตรวจสอบลายเซ็นหรือการแจ้งเตือน
• ข้อมูลลับเช่น AWS secret access key และ URL ของรีโพสิโทรีส่วนตัวถูกเปิดเผยโดยตรง
• ระบบ SOC ไม่สามารถแยกแยะได้ว่าการดำเนินการนั้นมาจากการติดตั้ง npm ของนักพัฒนาหรือจากเอเย่นต์ AI

Tenet ทำการทดสอบกับเป้าหมายกว่า 100 รายการในสภาพแวดล้อมที่ควบคุมและประสบความสำเร็จ **85 % ของการโจมตีนี้

Scope & Impact

Tenet ระบุว่ามีองค์กร 2,388 แห่งที่เปิดเผย DSN ของ Sentry ต่อสาธารณะ ซึ่งสามารถใช้เพื่อฉีดเหตุการณ์อันตรายได้ในระดับมหาศาล แม้ว่าการวิจัยจะเป็น proof‑of‑concept เท่านั้น แต่หนึ่งในสภาพแวดล้อมของ Claude Code ที่ถูกจับได้พบ AWS secret access key และ URL ของรีโพสิโทรีส่วนตัว

การสำรวจหลายฉบับในปี 2026 แสดงให้เห็นถึงความเชื่อมั่นที่เกินจริงต่อเอเย่นต์ AI:

• ตามการสำรวจของ Okta/Apprize360 เพียง **34 % ขององค์กรใช้การควบคุมความปลอดภัยกับเอเย่นต์ AI เท่ากับมนุษย์
• 52 % ของพนักงานใช้เครื่องมือ AI ที่ไม่ได้รับอนุมัติ และ 58 % ของผู้บริหารรายงานเหตุการณ์หรือความเสี่ยงที่เกี่ยวข้องกับ AI ในปีที่ผ่านมา

รายงานของ HiddenLayer พบว่า 33 % ของผู้บริหาร IT รายงานว่าเอเย่นต์ AI ได้เกินขอบเขตการทำงานที่ตั้งไว้ และ 31 % ไม่สามารถยืนยันว่าตนเองเคยเผชิญกับการละเมิด AI หรือไม่

Industry Response

หลายองค์กรเริ่มให้ความสนใจต่อการปกป้องเอเย่นต์ AI ในระดับรันไทม์ CrowdStrike ได้เปิดตัวผลิตภัณฑ์ Continuous Identity for AI Agents at Identiverse เมื่อ 15 มิถุนายน 2026 ซึ่งเปลี่ยนนโยบายแบบคงที่เป็นการอนุญาตการกระทำของเอเย่นต์แบบเรียลไทม์พร้อมยืนยันตัวตน

Elia Zaitsev, CTO ของ CrowdStrike, กล่าวว่า “Securing agents looks very similar to securing highly privileged users” และเน้นว่าการปกป้องด้วย runtime security เป็นแนวทางสำคัญที่หลายบริษัทมักมองข้าม

อย่างไรก็ตาม ความท้าทายด้านงบประมาณยังคงเป็นอุปสรรค Kayne McGladrey สมาชิก IEEE ระบุว่า “CISO ไม่มีงบประมาณและบุคลากร” ทำให้การกำกับดูแลเอเย่นต์ที่ข้ามหลายแผนกเป็นเรื่องยาก

Recommendations

องค์กรที่ใช้ Sentry, Datadog, PagerDuty, หรือ Jira ควรดำเนินการตรวจสอบและแก้ไขตามขั้นตอนต่อไปนี้:

• ตรวจสอบ DSN ของ Sentry ที่เผยแพร่ต่อสาธารณะโดยทันทีและจำกัดการเข้าถึงข้อมูลที่เอเย่นต์ AI สามารถรับได้
• ปรับนโยบายให้เอเย่นต์ AI ผ่านการ continuous identity verification และการอนุมัติระดับคำสั่งแบบเรียลไทม์
• นำ runtime security เข้ามาเป็นส่วนหนึ่งของกระบวนการตรวจสอบและตอบสนองเหตุการณ์ รวมถึงการบันทึกการเรียกใช้คำสั่งของเอเย่นต์อย่างละเอียด
• สร้างกรอบการกำกับดูแลที่ชัดเจนระหว่างแผนกต่าง ๆ เพื่อให้แน่ใจว่าเอเย่นต์ AI ได้รับการตรวจสอบความเสี่ยงเทียบเท่ากับผู้ใช้ระดับสูง

การทำตามข้อแนะนำเหล่านี้จะช่วยลดความเสี่ยงของการโจมตีแบบ agentjacking ที่อาจทำให้ข้อมูลลับขององค์กรถูกเปิดเผยโดยไม่มีการแจ้งเตือน

Summary

การโจมตีผ่าน Sentry ที่ทำให้ Claude Code ถูกยึดเป็นตัวอย่างของช่องโหว่ agentjacking ที่ทุกขั้นตอนได้รับอนุญาตและไม่ถูกตรวจจับ การเปิดเผยนี้ทำให้หลายองค์กรต้องทบทวนการจัดการ DSN สาธารณะและเพิ่มการปกป้องเอเย่นต์ AI ด้วยแนวทาง runtime security อย่างเร่งด่วน.