AutoJack: Cómo Microsoft Descubrió que Una Sola Página Web Maliciosa Puede Secuestrar tu Agente de IA para Ejecutar Código Remoto

1. Confianza ciega en localhost

El WebSocket MCP aceptaba todo el tráfico procedente de la interfaz de bucle local (127.0.0.1) como inherentemente confiable. No validaba si la solicitud provenía realmente del agente legítimo o de contenido web controlado por el atacante que el agente había renderizado . Dado que el agente se ejecuta localmente, cualquier página web cargada por el agente podía enviar mensajes WebSocket que el servicio MCP trataba como si se originaran en una fuente local confiable.

2. Falta de autenticación en el endpoint WebSocket

El WebSocket MCP no requería autenticación, tokens de sesión ni verificaciones de origen. Cualquier proceso local — o cualquier script que se ejecutara dentro de una página web renderizada por el agente — podía acceder al WebSocket y enviar comandos sin credenciales . Esto significaba que no había manera de que el servicio distinguiera entre llamadas legítimas de herramientas del agente e instrucciones maliciosas inyectadas por la página web del atacante.

3. Creación insegura de procesos a partir de comandos de herramientas

El servicio MCP ejecutaba ciegamente los comandos de herramientas recibidos a través del WebSocket. Permitía la creación arbitraria de procesos sin entornos de pruebas (sandboxing), verificaciones de capacidades ni confirmación del usuario . Una vez que el contenido del atacante llegaba al WebSocket, podía indicar al servicio que ejecutara cualquier comando en el equipo anfitrión.

Combinadas, estas tres debilidades permiten que una página web le indique al motor de navegación del agente de IA que se conecte al WebSocket MCP, envíe comandos de herramientas diseñados y ejecute código arbitrario, todo sin que el usuario haga clic en un segundo botón .

Versiones Afectadas y Cómo se Solucionó

La vulnerabilidad existía únicamente en la rama de desarrollo de AutoGen Studio, la interfaz de usuario de prototipado de código abierto para el marco de trabajo multiagente AutoGen de Microsoft . Nunca se incluyó en ninguna versión de PyPI de AutoGen Studio ni de AutoGen . Después de que Microsoft informara del problema a los mantenedores de AutoGen a través del Centro de Respuesta de Seguridad de Microsoft (MSRC), la corrección se aplicó a la rama de desarrollo . Se recomienda a los usuarios que actualicen a la última versión de AutoGen Studio para recibir el parche . No se ha reportado ningún número CVE para este problema según las fuentes disponibles.

Implicaciones Más Amplias para la Seguridad de los Agentes de IA

Más allá de la vulnerabilidad específica, Microsoft destaca que AutoJack demuestra un riesgo arquitectónico fundamental para cualquier marco de trabajo de IA agéntica que combine la navegación web con el acceso a herramientas locales . El entorno aislado del navegador (browser sandbox) fue diseñado para aislar el contenido web del sistema operativo. Pero un agente de IA que se encuentra dentro del perímetro de confianza y actúa sobre el contenido renderizado crea un puente desde la web abierta hasta operaciones locales privilegiadas .

Microsoft advierte que la suposición tradicional de tratar a localhost como una zona de confianza implícita ya no es válida cuando hay agentes involucrados . La compañía recomienda que los marcos de trabajo de IA agéntica adopten:

• Autenticación explícita para todos los endpoints MCP, incluso aquellos que escuchan en localhost
• Validación de origen para garantizar que solo el agente legítimo pueda enviar comandos
• Controles de acceso basados en capacidades que limiten lo que cada comando de herramienta puede hacer
• Entornos de prueba de procesos (sandboxing) para cualquier herramienta que pueda acceder a recursos del sistema

Localhost solía ser un límite de seguridad. Con los agentes de IA navegando por la web abierta, se ha convertido en una superficie de ataque.