AutoJack: Wie eine einzige manipulierte Webseite Ihren lokalen KI-Agenten kapert

1. Blindes Vertrauen in Localhost

Der MCP-WebSocket akzeptierte jeglichen Datenverkehr von der Loopback-Schnittstelle (127.0.0.1) als vertrauenswürdig. Es wurde nicht überprüft, ob die Anfrage tatsächlich vom legitimen Agenten oder von angreifergesteuerten Webinhalten stammte, die der Agent gerendert hatte . Da der Agent selbst lokal läuft, konnte jede vom Agenten geladene Webseite WebSocket-Nachrichten senden, die der MCP-Dienst so behandelte, als kämen sie von einer vertrauenswürdigen lokalen Quelle.

2. Fehlende Authentifizierung am WebSocket-Endpunkt

Der MCP-WebSocket erforderte keinerlei Authentifizierung, Sitzungstoken oder Ursprungsprüfungen. Jeder lokale Prozess – oder jedes Skript, das in einer vom Agenten gerenderten Webseite lief – konnte den WebSocket erreichen und Befehle ohne Anmeldedaten senden . Das bedeutete, dass der Dienst nicht unterscheiden konnte zwischen legitimen Agenten-Werkzeugaufrufen und bösartigen Anweisungen, die von einer Angreifer-Webseite injiziert wurden.

3. Unsichere Prozessausführung durch Tool-Befehle

Der MCP-Dienst führte Tool-Befehle, die er über den WebSocket erhielt, blind aus. Er erlaubte das Erstellen beliebiger Prozesse ohne Sandboxing, ohne Berechtigungsprüfung und ohne Benutzerbestätigung . Sobald die Angreiferinhalte den WebSocket erreichten, konnten sie den Dienst anweisen, beliebige Befehle auf dem Host auszuführen.

In Kombination ermöglichen diese drei Schwachstellen einer Webseite, die Browser-Engine des KI-Agenten anzuweisen, sich mit dem MCP-WebSocket zu verbinden, maßgeschneiderte Tool-Befehle zu senden und beliebigen Code auszuführen – alles ohne dass der Benutzer ein zweites Mal klicken muss .

Betroffene Versionen und die Behebung

Die Schwachstelle existierte ausschließlich im Entwicklungszweig von AutoGen Studio, der quelloffenen Prototyping-Oberfläche für Microsofts Multi-Agenten-Framework AutoGen . Sie wurde nie in einer PyPI-Veröffentlichung von AutoGen Studio oder AutoGen selbst ausgeliefert . Nachdem Microsoft das Problem über das Microsoft Security Response Center (MSRC) an die AutoGen-Entwickler gemeldet hatte, wurde der Fehler im Entwicklungszweig behoben . Benutzer werden aufgefordert, auf die neueste Version von AutoGen Studio zu aktualisieren, um den Patch zu erhalten . Zum Zeitpunkt der verfügbaren Quellen wurde für dieses Problem keine CVE-Nummer gemeldet.

Weitreichende Konsequenzen für die KI-Agenten-Sicherheit

Über die spezifische Schwachstelle hinaus betont Microsoft, dass AutoJack ein grundlegendes architektonisches Risiko für jedes KI-Agenten-Framework aufzeigt, das Webbrowsing mit lokalem Tool-Zugriff kombiniert . Die Browser-Sandbox wurde entwickelt, um Webinhalte vom Betriebssystem zu isolieren. Ein KI-Agent, der sich jedoch innerhalb der Vertrauensgrenze befindet und auf der Grundlage gerenderter Inhalte handelt, schafft eine Brücke vom offenen Web zu privilegierten lokalen Vorgängen .

Microsoft warnt davor, dass die traditionelle Annahme, Localhost als sichere implizite Vertrauenszone zu behandeln, nicht mehr haltbar ist, sobald Agenten im Spiel sind . Das Unternehmen empfiehlt, dass KI-Agenten-Frameworks folgende Maßnahmen ergreifen:

• Explizite Authentifizierung für alle MCP-Endpunkte, auch für die, die auf Localhost lauschen
• Ursprungsvalidierung (Origin Validation), um sicherzustellen, dass nur der legitime Agent Befehle senden kann
• Fähigkeitsbasierte Zugriffskontrollen, die die Möglichkeiten jedes Tool-Befehls einschränken
• Prozess-Sandboxing für jedes Tool, das auf Systemressourcen zugreifen kann

Localhost war einst eine Sicherheitsgrenze. Mit KI-Agenten, die im offenen Web surfen, ist er zu einer Angriffsfläche geworden.