AutoJack: Én ondsindet webside kan give hackere fuld kontrol over din computer via en AI-agent

1. Blind tillid til localhost

MCP WebSocket accepterede al trafik fra loopback-grænsefladen (127.0.0.1) som i sig selv betroet. Den validerede ikke, om anmodningen faktisk kom fra den legitime agent eller fra angriberkontrolleret webindhold, som agenten havde gengivet . Fordi agenten selv kører lokalt, kunne enhver webside, der blev indlæst af agenten, sende WebSocket-beskeder, som MCP-tjenesten behandlede, som om de kom fra en betroet lokal kilde.

2. Manglende autentifikation på WebSocket-endepunktet

MCP WebSocket krævede ingen autentifikation, sessions-tokens eller kildekontrol (origin checks). Enhver lokal proces – eller ethvert script, der kørte inde i en webside gengivet af agenten – kunne nå WebSocket og sende kommandoer uden legitimationsoplysninger . Det betød, at der ikke var nogen måde for tjenesten at skelne mellem legitime agent-værktøjskald og ondsindede instruktioner injiceret af en angribers webside.

3. Usikker procesoprettelse fra værktøjskommandoer

MCP-tjenesten udførte blindt værktøjskommandoer modtaget over WebSocket. Den tillod vilkårlig procesoprettelse uden sandboxing, kapabilitetskontrol eller brugerbekræftelse . Når først angriberens indhold nåede WebSocket, kunne det instruere tjenesten til at køre enhver kommando på værten.

Kombineret gør disse tre svagheder det muligt for en webside at instruere AI-agentens browsermotor til at oprette forbindelse til MCP WebSocket, sende konstruerede værktøjskommandoer og udføre vilkårlig kode – alt sammen uden at brugeren klikker på en ekstra knap .

Berørte versioner og hvordan det blev rettet

Sårbarheden fandtes kun i udviklingsgrenen af AutoGen Studio, den open source-prototype-UI til Microsofts AutoGen multi-agent-rammeværk . Den blev aldrig en del af nogen PyPI-udgivelse af AutoGen Studio eller AutoGen selv . Efter at Microsoft indberettede problemet til AutoGen-vedligeholderne via Microsoft Security Response Center (MSRC), blev rettelsen anvendt på udviklingsgrenen . Brugere rådes til at opdatere til den nyeste version af AutoGen Studio for at modtage rettelsen . Der er ikke rapporteret noget CVE-nummer for dette problem i de tilgængelige kilder.

Bredere implikationer for AI-agent-sikkerhed

Ud over den specifikke sårbarhed fremhæver Microsoft, at AutoJack demonstrerer en fundamental arkitektonisk risiko for ethvert agentisk AI-rammeværk, der kombinerer webbrowsing med lokal værktøjsadgang . Browser-sandboxen blev designet til at isolere webindhold fra operativsystemet. Men en AI-agent, der sidder inden i tillidsgrænsen og handler på gengivet indhold, skaber en bro fra det åbne internet til privilegerede lokale operationer .

Microsoft advarer om, at den traditionelle antagelse om at behandle localhost som en sikker implicit tillidszone ikke længere holder, når agenter er involveret . Virksomheden anbefaler, at agentiske AI-rammeværker indfører:

• Eksplicit autentifikation af alle MCP-endepunkter, selv dem, der lytter på localhost
• Kildevalidering (origin validation) for at sikre, at kun den legitime agent kan sende kommandoer
• Kapabilitetsbaseret adgangskontrol, der begrænser, hvad hver værktøjskommando kan gøre
• Proces-sandboxing for ethvert værktøj, der kan nå systemressourcer

Localhost plejede at være en sikkerhedsgrænse. Med AI-agenter, der browser på det åbne internet, er det blevet en angrebsflade.