AutoJack: Microsoft odhaluje, jak jediná stránka promění AI agenta v nástroj pro ovládnutí počítače

1. Slepá důvěra v localhost

MCP WebSocket přijímal veškerou komunikaci z loopback rozhraní (127.0.0.1) jako důvěryhodnou. Neověřoval, zda požadavek skutečně přišel z legitimního agenta, nebo z útočníkem ovládaného webového obsahu, který agent vykreslil . Protože agent běží lokálně, jakákoliv webová stránka, kterou načte, mohla přes WebSocket posílat zprávy, které MCP služba považovala za bezpečné – jako by přicházely z důvěryhodného lokálního zdroje.

2. Chybějící autentizace na WebSocketu

MCP WebSocket nevyžadoval žádnou autentizaci, session tokeny ani kontrolu původu (Origin). Jakýkoliv lokální proces – nebo skript běžící uvnitř webové stránky vykreslené agentem – se mohl k WebSocketu připojit a posílat příkazy bez zadání přihlašovacích údajů . Služba tak neměla žádný způsob, jak rozlišit mezi legitimními voláními nástrojů agenta a škodlivými instrukcemi vloženými útočníkovou stránkou.

3. Nebezpečné spouštění procesů z nástrojových příkazů

MCP služba slepě vykonávala nástrojové příkazy přijaté přes WebSocket. Umožňovala vytváření libovolných procesů bez sandboxingu, kontroly oprávnění nebo potvrzení uživatelem . Jakmile se útočníkův obsah dostal k WebSocketu, mohl službě nařídit spuštění libovolného příkazu na hostiteli.

Když se tyto tři slabiny spojí, webová stránka může instruovat prohlížecí engine AI agenta, aby se připojil k MCP WebSocketu, poslal upravené nástrojové příkazy a spustil libovolný kód – to vše bez jediného kliknutí uživatele navíc .

Které verze byly zranitelné a jak byla oprava nasazena

Zranitelnost existovala pouze ve vývojové větvi AutoGen Studia, open-source prototypovacího rozhraní pro Microsoftí multi-agentní framework AutoGen . Nikdy se nedostala do žádného PyPI vydání AutoGen Studia ani samotného AutoGen frameworku . Poté, co Microsoft nahlásil problém správcům projektu prostřednictvím Microsoft Security Response Center (MSRC), byla oprava aplikována do vývojové větve . Uživatelům se doporučuje aktualizovat na nejnovější verzi AutoGen Studia, aby opravu získali . K datu zveřejnění zdrojů nebylo k této chybě přiřazeno žádné CVE číslo.

Širší dopady pro bezpečnost AI agentů

Kromě samotné zranitelnosti Microsoft upozorňuje, že AutoJack demonstruje zásadní architektonické riziko pro jakýkoliv framework agentní umělé inteligence, který kombinuje prohlížení webu s přístupem k lokálním nástrojům . Prohlížečový sandbox byl navržen tak, aby izoloval webový obsah od operačního systému. AI agent, který ale sedí uvnitř hranice důvěry a jedná na základě vykresleného obsahu, vytváří most z otevřeného webu k privilegovaným lokálním operacím .

Microsoft varuje, že tradiční předpoklad považovat localhost za bezpečnou implicitní zónu důvěry již neplatí, když jsou do hry zapojeni agenti . Společnost doporučuje, aby frameworky pro agentní AI přijaly:

• Explicitní autentizaci pro všechny MCP koncové body, i ty, které naslouchají na localhostu
• Ověřování původu (Origin), aby bylo zajištěno, že příkazy posílá pouze legitimní agent
• Řízení přístupu založené na schopnostech, které omezí, co každý nástrojový příkaz může dělat
• Sandboxing procesů pro jakýkoliv nástroj, který může dosáhnout na systémové prostředky

Localhost býval bezpečnostní hranicí. S AI agenty, kteří prohlížejí otevřený web, se stal útočnou plochou.