AutoJack: Microsoft löysi, miten yksittäinen haitallinen verkkosivu voi kaapata tekoälyagenttisi

1. Sokea luottamus localhostiin

MCP WebSocket hyväksyi kaiken liikenteen loopback-rajapinnasta (127.0.0.1) luotettuna. Se ei tarkistanut, tuliko pyyntö aidosti agentilta vai hyökkääjän hallitsemasta verkkosisällöstä, jonka agentti oli renderöinyt . Koska agentti toimii paikallisesti, mikä tahansa agentin lataama verkkosivu pystyi lähettämään WebSocket-viestejä, joita MCP-palvelu käsitteli kuin ne olisivat tulleet luotetusta paikallisesta lähteestä.

2. Todennuksen puute WebSocket-päätepisteessä

MCP WebSocket ei vaatinut todennusta, istuntotunnuksia tai alkuperän tarkistusta. Mikä tahansa paikallinen prosessi – tai agentin renderöimällä sivulla toimiva skripti – pystyi ottamaan yhteyden WebSocketiin ja lähettämään komentoja ilman tunnistautumista . Palvelu ei siis pystynyt erottamaan aitoja agentin työkalujen kutsuja hyökkääjän haitallisista ohjeista.

3. Turvaton prosessien käynnistys työkalujen komentojen kautta

MCP-palvelu suoritti sokeasti työkalujen komentoja, jotka se sai WebSocketin kautta. Se salli mielivaltaisten prosessien luomisen ilman hiekkalaatikointia, käyttöoikeusrajoituksia tai käyttäjän vahvistusta . Kun hyökkääjän sisältö pääsi käsiksi WebSocketiin, se pystyi ohjaamaan palvelua suorittamaan mitä tahansa komentoja isäntäkoneella.

Nämä kolme heikkoutta yhdessä mahdollistavat sen, että verkkosivu voi ohjeistaa tekoälyagentin selausmoottoria ottamaan yhteyden MCP WebSocketiin, lähettämään muokattuja työkalujen komentoja ja suorittamaan mielivaltaista koodia – ilman että käyttäjän tarvitsee napsauttaa mitään .

Vaikutuksen alaiset versiot ja korjaus

Haavoittuvuus esiintyi vain AutoGen Studion kehityshaarassa, joka on Microsoftin AutoGen-monikäyttäjäkehyksen avoimen lähdekoodin prototyyppikäyttöliittymä . Sitä ei koskaan toimitettu missään AutoGen Studion tai AutoGenin PyPI-julkaisussa . Kun Microsoft ilmoitti ongelmasta AutoGenin ylläpitäjille Microsoft Security Response Centerin (MSRC) kautta, korjaus tehtiin kehityshaaraan . Käyttäjiä kehotetaan päivittämään AutoGen Studio uusimpaan versioon saadakseen korjauksen . CVE-numeroa ei ole raportoitu tästä ongelmasta saatavilla olevien lähteiden mukaan.

Laajemmat vaikutukset tekoälyagenttien tietoturvaan

Yksittäisen haavoittuvuuden lisäksi Microsoft korostaa, että AutoJack osoittaa perustavanlaatuisen arkkitehtonisen riskin kaikissa tekoälyagenttijärjestelmissä, jotka yhdistävät verkkoselailun ja paikallisten työkalujen käytön . Selainten hiekkalaatikot on suunniteltu eristämään verkkosisältö käyttöjärjestelmästä. Mutta kun tekoälyagentti toimii luottamuksen rajan sisällä ja reagoi renderöimäänsä sisältöön, se luo sillan avoimesta verkosta etuoikeutettuihin paikallisiin toimintoihin .

Microsoft varoittaa, että perinteinen oletus localhostin pitämisestä turvallisena sokeana luottamusvyöhykkeenä ei enää päde, kun agentit ovat mukana . Yhtiö suosittelee, että tekoälyagenttikehykset ottavat käyttöön:

• Nimenomaisen todennuksen kaikkiin MCP-päätepisteisiin, vaikka ne kuuntelisivat localhostissa
• Alkuperän tarkistuksen varmistaakseen, että vain aito agentti voi lähettää komentoja
• Toimintaperusteiset pääsyoikeudet, jotka rajoittavat kunkin työkalukomennon mahdollisuuksia
• Prosessien hiekkalaatikkoinnin kaikille työkaluille, jotka voivat päästä käsiksi järjestelmäresursseihin

Localhost oli aiemmin tietoturvan raja. Kun tekoälyagentit selaavat avointa verkkoa, siitä on tullut hyökkäyspinta.