Home Fondamenti Storia dell'AI Reti Neurali Backpropagation Architetture Token Modelli AI Case Studies Tecniche RAG RAG Avanzato GraphRAG MCP Orchestrazione LangChain LangGraph Prompt Engineering Usare l'AI ChipsBot News
HomeNews › L'Attacco a Claude Code Passa Attraverso Sent...

L'Attacco a Claude Code Passa Attraverso Sentry. Anche Datadog, PagerDuty e Jira Hanno la Stessa Esposizione.

VentureBeat AI 29 giugno 2026

Un singolo report di errore falso ha compromesso l'agente Claude Code in test controllati — l'agente ha eseguito il codice dell'attaccante con i pieni privilegi del developer, senza scatolare un singolo allarme. Il controllo dell'EDR, il WAF, l'IAM e il firewall hanno tutti perso completamente il segnale.

Una divulgazione del giugno 2026 di Tenet Security ha descritto un unico evento di errore elaborato di Sentry — inviato attraverso una credenziale pubblica che non richiede violazione né autenticazione — che ha iniettato istruzioni dell'attaccante nei dati di errore che Claude Code, Cursor, e Codex hanno eseguito come output diagnostico di fiducia. I test di Tenet su 100 bersagli in conditioni controllate hanno generato un tasso di successo del 85%. Sentinel ha chiamato il difetto "tecnicamente non difendibile".

Il Cloud Security Alliance ha classificato l'agentjacking come una classe sistematica di vulnerabilità MCP entro giorni dalla divulgazione. Nessuna credenziale è stata rubata, nessuna politica è stata violata, nessun perimetro attaccato — ogni passo della catena era autorizzato. Ed именно per questo che il problema sorge.

Tenet ha identificato 2.388 organizzazioni con credenziali Sentry esposte pubblicamente che potrebbero usare per iniettare eventi dannosi in scala. Lo studio ha caratterizzazioni di proof-of-concept e non è confermato l'abuso in tutte le 2.388. Ma un ambiente catturato di Claude Code ha mantenuto una chiave di accesso AWS segreta e indirizzi URL di repository privati.

Perché non si vede niente

L'agentjacking funziona perché ogni passo è autorizzato: L'attaccante manda una chiamata API Sentry valida usando una DSN pubblica, il server MCP restituisce l'evento iniettato come output autentico e l'agente esegue l'istruzione con i privilegi del developer. Nessun segnale si attiva. La vittima vede solo i diagnostici inappuntabili, mentre l'agente esegue silenziosamente le credenziali delle nuvole e i token di controllo sorgente.

Gli team SOC non hanno mai dovuto distinguere tra un developer che esegue un npm install e un agente che lo esegue in risposta a un evento di errore malizioso. Questa distinzione non esisteva fino a quando gli agenti AI non diventarono strumenti produttivi. La struttura che non la può fare la passa per un bypass dell'agentjacking.

Cinque sondaggi, uno schema

Cinque indagini indipendenti della prima metà del 2026 hanno rivelato che le aziende fidano nei loro agenti AI decisamente più di quanto non giustifichino le politiche di controllo.

    • Secondo un sondaggio di Okta/Apprize360 su 292 dirigenti e 492 specialisti in conoscenza, solo il 34% delle organizzazioni applica gli stessi controlli di sicurezza agli agenti AI come agli esseri umani.
    • Il 52% degli impiegati utilizza strumenti AI non approvati e il 58% dei dirigenti riporta un evento o un episodio quasi pericoloso legato all'AI nell'anno precedente.
    • Secondo il Rapporto Landscape 2026 di HiddenLayer, in cui sono stati intervistati 250 leader IT e di sicurezza, il 33% ha riportato che gli agenti hanno già superato lo scopo originale e il 31% non può confermare se ha avuto un incidente riguardante l'AI.
    • I risultati di un sondaggio di Gravitee su oltre 900 dirigenti e professionisti hanno rivelato che solo il 14,4% degli agenti entra in funzione con il pieno avallo di sicurezza e l'88% ha riportato incidenti confermati o sospettati.
    • Un follow-up ad aprile su 750 leader ha rilevato che il numero di agenti ha quasi raddoppiato, ma il monitoraggio è aumentato solo marginalmente.

Lo squilibrio al runtime che nessuno ha sigillato

"La protezione degli agenti si presenta in modo molto simile alla protezione di utenti molto privilegiati," ha dichiarato Elia Zaitsev, CTO di CrowdStrike in un'intervista a VentureBeat. "Hanno identità, hanno accesso ai sistemi sottostanti, ragionano, prendono l'azione."

Zaitsev ha evidenziato il gap che l'industria ha lasciato aperto. "Nessuno sta parlando di proteggere gli agenti al runtime. Noi lo stiamo facendo adesso. Che rete di sicurezza hai? Se tutti questi controlli falliscono, come previeni il fallimento silenzioso?

I dati del parco flotta di CrowdStrike quantificano l'esposizione: Più di 1.800 applicazioni agenti su endpoint aziendali, circa 160 milioni di istanze monitorate. Il 15 giugno, CrowdStrike ha consegnato Continuous Identity per Agenti AI all'Identiverse, eliminando le politiche statiche per sostituirle con un'autorizzazione in tempo reale di ogni azione di agente. La classe di controllo che questa iniziativa rappresenta — autorizzazione continua di livello azione con identità del agente verificabile — è ora un criterio essenziale indipendentemente dal venditore.

“Le persone hanno come dimenticato della sicurezza al runtime,” ha detto Zaitsev. “L’abbiamo fatta con endpoint, virtualizzazione, e cloud. Tutti si concentravano su patching vulnerabilità, bloccare i privilegi. Perché, ogni volta, sembra abbiano sempre fallito qualcosa. La rete di sicurezza è il runtime.”

Lo stesso Zaitsev fu diretto anche nel commentato su soluzioni tipo sandbox. “Se inizi con un agente in una sandbox che non ha modo di toccare nulla, è inutile. Molto velocemente, ti ritrovi ad offrirgli di più. Poi, che senso ha questa sandbox?” Per i benefici di accesso, i valori degli agenti derivano da concessioni d’accesso iniziate. Ogni concesso è uno spazio d’attacco.

Il vuoto di governance è un problema di budget

Kayne McGladrey, membro IEEE Senior, ha descritto il dilemma strutturale in un'intervista esclusiva a VentureBeat. “Il CISO non ha i fondi né il personale per prendersi cura di questi rischi. Possiamo osservare i rischi, possiamo fare raccomandazioni per i rischi aziendali, ma non siamo i soli responsabili dei sistemi aziendali esposti a questi rischi,” ha detto McGladrey. Quando la gestione degli agenti spazia su sei budget di dipartimento, nessun unico esecutivo può confermare che gli agenti ricevano lo stesso esame dei permessi umani.

I sondaggi di Okta quantificano questa mancanza di coerenza. Solo il 43% degli operai riferisce che le politiche sugli agenti sono chiare, rispetto al 65% dei dirigenti, e quasi due terzi si applica controlli deboli agli agenti rispetto agli umani. Le persone che schier

Leggi l'articolo originale →
← Torna alle news