AutoJack: Satu Halaman Web Berbahaya Bisa Membajak Agen AI Anda untuk Eksekusi Kode Jarak Jauh (RCE)

1. Kepercayaan buta pada localhost

WebSocket MCP menerima semua lalu lintas dari antarmuka loopback (127.0.0.1) sebagai tepercaya. WebSocket ini tidak memvalidasi apakah permintaan benar-benar berasal dari agen yang sah atau dari konten web milik penyerang yang dirender oleh agen . Karena agen itu sendiri berjalan secara lokal, halaman web apa pun yang dimuat oleh agen dapat mengirim pesan WebSocket yang diperlakukan oleh layanan MCP seolah-olah berasal dari sumber tepercaya lokal.

2. Tidak ada autentikasi pada endpoint WebSocket

WebSocket MCP tidak memerlukan autentikasi, token sesi, atau pemeriksaan asal (origin checks). Proses lokal mana pun — atau skrip apa pun yang berjalan di dalam halaman web yang dirender oleh agen — dapat menjangkau WebSocket dan mengirim perintah tanpa kredensial . Ini berarti tidak ada cara bagi layanan untuk membedakan antara panggilan alat agen yang sah dan instruksi berbahaya yang disuntikkan oleh halaman web penyerang.

3. Proses spawning perintah yang tidak aman

Layanan MCP secara membabi buta mengeksekusi perintah alat yang diterima melalui WebSocket. Layanan ini memungkinkan pembuatan proses arbitrer tanpa sandboxing, pemeriksaan kapabilitas, atau konfirmasi pengguna . Setelah konten penyerang mencapai WebSocket, konten tersebut dapat menginstruksikan layanan untuk menjalankan perintah apa pun di host.

Jika digabungkan, ketiga kelemahan ini memungkinkan sebuah halaman web untuk menginstruksikan mesin browsing agen AI agar terhubung ke WebSocket MCP, mengirim perintah alat yang dirancang, dan mengeksekusi kode arbitrer — semuanya tanpa pengguna mengklik tombol kedua .

Build yang Terkena Dampak dan Cara Perbaikannya

Vulnerabilitas ini hanya ada di cabang pengembangan AutoGen Studio, UI prototyping open-source untuk kerangka kerja multi-agen AutoGen milik Microsoft . Vulnerabilitas ini tidak pernah dirilis dalam rilis PyPI AutoGen Studio atau AutoGen itu sendiri . Setelah Microsoft melaporkan masalah ini kepada pengelola AutoGen melalui Microsoft Security Response Center (MSRC), perbaikan diterapkan ke cabang pengembangan . Pengguna disarankan untuk memperbarui ke versi terbaru AutoGen Studio untuk menerima tambalan . Belum ada nomor CVE yang dilaporkan untuk masalah ini dari sumber yang tersedia.

Implikasi Lebih Luas untuk Keamanan Agen AI

Di luar vulnerabilitas spesifik, Microsoft menyoroti bahwa AutoJack menunjukkan risiko arsitektural fundamental untuk kerangka kerja agen AI mana pun yang menggabungkan penjelajahan web dengan akses alat lokal . Sandbox browser dirancang untuk mengisolasi konten web dari sistem operasi. Namun, agen AI yang berada di dalam batas kepercayaan dan bertindak berdasarkan konten yang dirender menciptakan jembatan dari web terbuka ke operasi lokal yang memiliki hak istimewa .

Microsoft memperingatkan bahwa asumsi tradisional yang memperlakukan localhost sebagai zona kepercayaan implisit yang aman tidak lagi berlaku ketika agen terlibat . Perusahaan merekomendasikan agar kerangka kerja agen AI mengadopsi:

• Autentikasi eksplisit untuk semua endpoint MCP, bahkan yang mendengarkan di localhost
• Validasi asal untuk memastikan hanya agen yang sah yang dapat mengirim perintah
• Kontrol akses berbasis kapabilitas yang membatasi apa yang dapat dilakukan setiap perintah alat
• Sandboxing proses untuk alat apa pun yang dapat menjangkau sumber daya sistem

Localhost dulu adalah batas keamanan. Dengan agen AI yang menjelajahi web terbuka, localhouse kini telah menjadi permukaan serangan.