Project Impact
Nieuws

Agentjacking: hoe één nep-foutmelding je AI-codeertool kaapt

Een aanvaller stuurt één POST-verzoek naar Sentry — zonder wachtwoord, zonder toegang tot je systeem. Jij vraagt je AI-codeertool om fouten op te lossen. De agent voert de kwaadaardige instructie uit. Dit heet agentjacking, en het treft Claude Code, Cursor en Codex.

Dennis ClaassenDennis Claassen7 min lezen
Een AI-codeeragent die een vervalste Sentry-foutmelding ontvangt en kwaadaardige code uitvoert — symbolisch beeld voor de agentjacking-aanval via MCP

Meer leren over AI?

AI inzetten voor je team? In onze trainingen leer je het in 4 uur.

Dennis Claassen

Dennis Claassen

AI-trainer · 35+ teams getraind

Bekijk trainingen

Key Takeaways

  • 3 juni 2026: Tenet Security legt de aanval voor aan Sentry. Sentry erkent het probleem en weigert een structurele fix te implementeren, beschrijvend als "technically not defensible" op platformniveau (Tenet Security).
  • 17 juni 2026: Tenet Security publiceert de volledige documentatie van "agentjacking" — een aanval waarbij een nep-foutmelding Claude Code, Cursor en Codex kaapt en kwaadaardige code laat uitvoeren met de rechten van de ontwikkelaar (The Hacker News).
  • Geen systeemtoegang nodig: de aanval gebruikt alleen een publieke Sentry DSN — een credential die opzettelijk in je JavaScript staat — om een kwaadaardig foutbericht te injecteren.
  • 85% slagingsrate bij gecontroleerde tests over meer dan 100 organisaties (CSA Research Note, 12 juni 2026).
  • 2.388 organisaties kwetsbaar bevonden via publiek vindbare DSNs.
  • Wat er op het spel staat: AWS-sleutels, GitHub-tokens, Git-credentials, private repository-URLs en andere omgevingsvariabelen — stil geëxfiltreerd zonder gebruikersinteractie.
  • Enige volledige mitigatie nu: verwijder de Sentry MCP-serverconfiguratie uit Claude Code, Cursor en Codex totdat Sentry een structurele oplossing uitrolt.

Woensdag, 17 juni 2026. Je vraagt Claude Code, Cursor of Codex om de laatste onopgeloste Sentry-fouten te bekijken. Normaal werk. De agent haalt de foutmeldingen op via de Sentry MCP-server, analyseert ze en begint code te schrijven.

Eén van die "foutmeldingen" was niet van jou. Een aanvaller verstuurde hem eerder via een openbaar credential dat in je eigen JavaScript staat. De melding bevatte instructies. De agent volgde ze op — met jouw volledige rechten. Je AWS-sleutel is weg.

Dit is agentjacking.

Wat is agentjacking?

Agentjacking is een aanvalsklasse waarbij een kwaadwillende een AI-codeeragent manipuleert via vervalste Sentry-foutmeldingen. De aanvaller stuurt zorgvuldig geconstrueerde instructies naar Sentry — verborgen in foutmelding-velden die de agent later leest via de Sentry MCP-server. Wanneer de ontwikkelaar de agent vraagt om fouten op te lossen, gehoorzaamt de agent de verborgen opdrachten.

Tenet Security's Threat Labs documenteerde de aanval op 17 juni 2026 (Tenet Security). De Cloud Security Alliance publiceerde een Research Note al op 12 juni (CSA). Tenet legde het probleem voor aan Sentry op 3 juni; Sentry erkende het — maar koos voor een minimale reactie en implementeerde geen structurele oplossing.

Hoe werkt de aanval technisch?

Het kernprobleem: Sentry's DSN (Data Source Name) is een publiek, write-only credential dat opzettelijk in frontend-JavaScript wordt ingebouwd zodat browsers foutmeldingen kunnen rapporteren. Het is bedoeld om door iedereen te worden gelezen — inclusief aanvallers.

De aanval verloopt in vier stappen:

  1. Verkenning: de aanvaller zoekt geldige DSNs in JavaScript-broncode van doelwitwebsites, via Censys-queries voor ingest.sentry.io-subdomeinen, of via GitHub's publieke code-index.

  2. Injectie: met een enkel HTTP POST-verzoek — geen wachtwoord, geen toegang tot het doelwitsysteem — verstuurt de aanvaller een vervalste foutmelding naar Sentry's ingest-endpoint. In de berichtvelden en context-keys staan zorgvuldig geformatteerde kwaadaardige instructies, visueel identiek aan echte Sentry-systeemberichten.

  3. Triggering: de ontwikkelaar vraagt de AI-codeeragent om "onopgeloste Sentry-fouten te bekijken en te fixen". De agent raadpleegt Sentry via de MCP-server en ontvangt de vervalste melding — samen met de kwaadaardige instructies.

  4. Uitvoering: de agent voert de instructies uit met de volledige rechten van de ontwikkelaar. Omgevingsvariabelen, AWS-sleutels, GitHub-tokens, Git-credentials en private repository-URLs worden stil geëxfiltreerd naar de server van de aanvaller (The New Stack).

Claude Code, Cursor en Codex zijn alle drie kwetsbaar wanneer ze een Sentry MCP-integratie hebben. De aanval werkt bij elk AI-codeeragent met Sentry-toegang via MCP.

Waarom detecteren bijna onmogelijk is

Wat agentjacking zo gevaarlijk maakt, is wat Tenet de "Authorized Intent Chain" noemt: elke stap in de aanval is geautoriseerd.

De aanvaller raakt het systeem van het slachtoffer niet aan. De ontwikkelaar keurt geen code goed. De agent doet precies wat hem gevraagd werd. EDR, WAF, IAM, VPN en firewalls registreren niets verdachts. De aanval reist vermomd als legitiem ontwikkelaarswerk.

De scope is aanzienlijk. Tenet vond 2.388 organisaties met injecteerbare DSNs via publiek beschikbare bronnen. In gecontroleerde tests over meer dan 100 organisaties bedroeg de slagingsrate 85% (CSA Research Note).

Dit is geen theoretische aanval. Tenet bevestigde echte agent-uitvoering — geen simulaties — bij de geteste organisaties.

Sentry's reactie: minimaal

Tenet legde de kwetsbaarheid voor aan Sentry op 3 juni 2026. Sentry erkende het probleem en wees een structurele oplossing af. De motivering: het is "technically not defensible" op platformniveau (Tenet Security).

De enige actie die Sentry implementeerde: een contentfilter op één specifieke payload-string uit de proof-of-concept. Elke variant omzeilt de filter. Dat betekent dat de verantwoordelijkheid volledig bij de gebruiker ligt.

Dit is niet uitzonderlijk. Bij prompt injection speelt hetzelfde patroon: de infrastructuurlaag beschouwt het als een applicatieprobleem; de applicatielaag verwijst naar de infrastructuur. Ondertussen blijft de aanvalsvector open.

Wat Nederlandse ontwikkelaars en teams nu moeten doen

Drie concrete stappen die je vandaag nog kunt zetten.

Stap 1 — Verwijder de Sentry MCP-configuratie

Dit is de enige volledige mitigatie die nu beschikbaar is. Verwijder de Sentry MCP-server uit je Claude Code-, Cursor- of Codex-configuratie totdat Sentry een structurele fix uitrolt.

In Claude Code: verwijder de Sentry-entry uit .mcp.json of uit de globale MCP-configuratie (~/.claude/claude.json). In Cursor: verwijder de MCP Sentry-serverentry uit .cursor/mcp.json. Check ook team-brede MCP-configuraties die via repository-instellingen worden gedeeld — een teamlid dat de configuratie heeft aangemaakt, beschermt zo de hele omgeving niet automatisch.

Stap 2 — Vereis menselijke goedkeuring voor shell-commando's via MCP

Configureer je AI-codeeragent om expliciete menselijke bevestiging te vragen vóór het uitvoeren van shell-commando's die afkomstig zijn van MCP-tool-responses. Claude Code's auto-mode veiligheidsinstellingen bieden hiervoor configuratieopties. Elk npx- of pip-commando afkomstig van een MCP-databron moet een handmatige goedkeuringsstap doorlopen.

Stap 3 — Implementeer runtime-guardrails

Tools als McpSafetyScanner inspecteren MCP-tool-responses op shell-executie-instructies vóórdat de agent ze verwerkt. Ze opereren op de agent-MCP-grens en kunnen agentjacking-payloads blokkeren ongeacht welke MCP-server ze levert. Meer achtergrond: zie ons woordenboekitem over guardrails.

De bredere betekenis voor AI-beveiliging

Agentjacking is geen bug in Claude Code of Cursor. Het is een architectureel probleem: AI-codeeragenten vertrouwen gegevens die via MCP binnenkomen op dezelfde manier als vertrouwde instructies. Dat is precies wat prompt injection beschrijft — maar nu via een omweg die de meeste beveiligingstools niet scannen.

Info

De Sentry-aanval is niet de enige in deze klasse. Elke MCP-server die schrijfbare externe data inleest — fouttracking, analytics, CRM, e-mail — is een potentieel injectievlak. Inventariseer welke MCP-servers actief zijn in je agent-configuraties en vraag per server: wie kan er data naar schrijven die de agent later leest?

Naarmate AI-codeeragenten vaker bedrijfskritisch werk doen — code schrijven, deployen, API-sleutels gebruiken — worden ze ook aantrekkelijkere aanvalsvectoren. De Sentry-aanval illustreert dat de beveiliging van AI-werkstromen niet alleen draait om welk model je kiest, maar om het geheel van tools, integraties en rechten waar dat model mee werkt.

Voor Nederlandse teams die Claude Code, Cursor of Codex productief willen inzetten zonder onnodige risico's: leer hoe AI-codeeragenten werken, welke MCP-integraties je inzet, en waar de grenzen liggen. Precies dat behandelen we in onze Claude Code-training — inclusief veiligheidsinstellingen, MCP-configuratie en het herkennen van risico's in agentic workflows.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

Bekijk trainingen

Bronnen: Tenet Security — One fake bug report hijacked a $250B company's AI agent · CSA Research Note — Agentjacking: MCP Injection Hijacks AI Coding Agents (12 juni 2026) · The Hacker News — Agentjacking attack tricks AI coding agents into running malicious code · The New Stack — A public Sentry key is all it takes to hijack Claude Code, Cursor, and Codex · Aviatrix Threat Research — Agentjacking Attack Exploits AI Coding Agents via Sentry Vulnerability

Veelgestelde vragen

Wat is agentjacking en welke AI-codeertools zijn kwetsbaar?

Agentjacking is een aanvalsklasse waarbij een kwaadwillende een AI-codeeragent manipuleert via vervalste Sentry-foutmeldingen. De aanvaller injecteert kwaadaardige instructies in een Sentry-foutbericht via een openbaar write-only credential (DSN). Wanneer de AI-codeeragent de foutmeldingen ophaalt via de Sentry MCP-server, voert hij de instructies uit met de rechten van de ontwikkelaar. Claude Code, Cursor en Codex (OpenAI) zijn alle drie kwetsbaar wanneer ze een Sentry MCP-integratie hebben. De aanval werkt bij elk AI-codeeragent met Sentry-toegang via MCP. Gedocumenteerd door Tenet Security's Threat Labs op 17 juni 2026. Bron: Tenet Security, CSA Research Note (12 juni 2026).

Hoe kan een aanvaller mijn AI-codeertool kapen via Sentry zonder toegang tot mijn systeem?

Een Sentry DSN (Data Source Name) is een openbaar write-only credential dat opzettelijk in frontend-JavaScript staat zodat browsers foutmeldingen kunnen rapporteren. Elke aanvaller die dit credential vindt — via JavaScript-broncode, Censys-queries of GitHub-zoekresultaten — kan ermee een kwaadaardig foutbericht naar Sentry sturen. Dat kost één HTTP POST-verzoek, zonder wachtwoord of toegang tot het doelwitsysteem. Wanneer de ontwikkelaar zijn AI-codeeragent vraagt om "onopgeloste Sentry-fouten te fixen", leest de agent via de Sentry MCP-server ook het vervalste bericht — en voert de verborgen instructies uit. Wat er op het spel staat: AWS-sleutels, GitHub-tokens, Git-credentials en private repository-URLs. Tenet vond 2.388 organisaties met injecteerbare DSNs via publieke bronnen, met een slagingsrate van 85% in gecontroleerde tests. Bron: Tenet Security, The New Stack.

Hoe verwijder ik de Sentry MCP-integratie uit Claude Code of Cursor?

In Claude Code: open je MCP-configuratiebestand (.mcp.json in je projectmap, of ~/.claude/claude.json voor globale configuratie) en verwijder de Sentry-serverentry. Herstart Claude Code om de wijziging door te voeren. In Cursor: verwijder de Sentry MCP-serverentry uit .cursor/mcp.json. Check ook team-brede MCP-configuraties die via repository-instellingen worden gedeeld — als een teamlid de configuratie heeft aangemaakt in een gedeeld bestand, moeten alle teamleden de wijziging doorvoeren. Dit is momenteel de enige volledige mitigatie totdat Sentry een structurele oplossing uitrolt. Bron: Tenet Security, eigen analyse.

Heeft Sentry het agentjacking-probleem opgelost?

Nee. Tenet Security legde de kwetsbaarheid voor aan Sentry op 3 juni 2026. Sentry erkende het probleem maar wees een structurele fix af, met als motivering dat het "technically not defensible" is op platformniveau. De enige actie die Sentry nam: een contentfilter op één specifieke payload-string uit de proof-of-concept. Elke variant van die payload omzeilt de filter. Dat betekent dat de verantwoordelijkheid volledig bij de gebruiker ligt. Verwijder de Sentry MCP-integratie uit je AI-codeeragent totdat Sentry een structurele oplossing aankondigt. Bron: Tenet Security.

Welke alternatieven zijn er als ik Sentry MCP niet kan verwijderen uit mijn workflow?

Als je Sentry MCP tijdelijk niet kunt verwijderen: configureer je AI-codeeragent om expliciete menselijke goedkeuring te vragen vóór het uitvoeren van shell-commando's die afkomstig zijn van MCP-tool-responses — elk npx- of pip-commando uit een MCP-databron vereist een handmatige bevestiging. Gebruik daarnaast runtime-guardrailtools zoals McpSafetyScanner die MCP-tool-responses inspecteren op shell-executie-instructies vóórdat de agent ze verwerkt. Beoordeel ook of je Sentry MCP alleen inzet voor read-only monitoring (fouten bekijken) in plaats van voor write-acties — beperk de scope van de integratie tot het minimum dat je workflow vereist. Bron: Tenet Security, eigen analyse.

Tags
claude-codecursoragentic-codingai-beveiligingmcp-serverprompt-injection
Dennis Claassen
Geschreven door

Dennis Claassen

Founder & AI Trainer

Dennis is de oprichter van Project Impact en traint Nederlandse bedrijven in het effectief gebruiken van AI. Met jarenlange ervaring in tech en onderwijs helpt hij teams om AI praktisch toe te passen.

Meer over Dennis

Gerelateerde Artikelen

Meer interessante artikelen over dit onderwerp

Goudkleurig wetsboek met de Nederlandse vlag en een AI-icoon op het omslag — symbool voor de Nederlandse Uitvoeringswet AI-verordening
Nieuws

Uitvoeringswet AI-verordening: wat Nederland zelf regelt — en wat het voor uw bedrijf betekent

De EU AI Act geldt al rechtstreeks, maar Nederland regelt in een aparte wet wie er handhaaft en hoe toezichthouders samenwerken. De consultatie sloot op 1 juni 2026. AFM: 'aanpassingen nodig voor effectief toezicht'. Dit is wat er staat te gebeuren.

5 min lezen
Abstract beeld van een AI-architectuurdiagram met pijlen die van een Google-blauw blok naar een OpenAI-groen blok bewegen — symbool voor de overstap van Noam Shazeer
Nieuws

Noam Shazeer verlaat Google voor OpenAI: de Transformer-uitvinder kiest zijn nieuwe thuis

Op 17 juni 2026 maakte Noam Shazeer bekend dat hij Google verlaat om bij OpenAI te gaan werken als Lead for Architecture Research. Shazeer is co-auteur van 'Attention Is All You Need' — het paper dat in 2017 de Transformer-architectuur introduceerde die ten grondslag ligt aan vrijwel alle grote AI-modellen. Google had hem in 2024 voor circa $2,7 miljard teruggehaald van Character.AI. Nu is hij weg.

5 min lezen
Abstracte weergave van AI-chips en datacenterrekken — symbool voor de verschuiving in de AI-hardwaremarkt met Amazon Trainium als NVIDIA-uitdager
Nieuws

Amazon wil Trainium AI-chips verkopen buiten AWS: het einde van NVIDIA's monopolie?

Op 18 juni 2026 bevestigde Amazon's AI-chief Peter DeSantis dat het bedrijf gesprekken voert om Trainium AI-chips te verkopen aan externe datacenters — een directe uitdaging aan NVIDIA's dominantie. Amazon's eigen chipbusiness passeerde al $20 miljard jaarlijkse omzetrun-rate. Dit is wat het voor uw AI-strategie betekent.

6 min lezen

AI leren toepassen in je bedrijf?

Ontdek onze praktische AI trainingen voor teams.