AutoJack: la scoperta di Microsoft su come una singola pagina web malintenzionata possa dirottare il tuo agente AI per eseguire codice in remoto

1. Fiducia cieca in localhost

Il WebSocket MCP accettava tutto il traffico proveniente dall'interfaccia di loopback (127.0.0.1) come intrinsecamente affidabile. Non convalidava se la richiesta provenisse effettivamente dall'agente legittimo o da contenuti web controllati dall'aggressore che l'agente aveva visualizzato . Poiché l'agente stesso viene eseguito localmente, qualsiasi pagina web caricata dall'agente poteva inviare messaggi WebSocket che il servizio MCP trattava come se provenissero da una fonte locale attendibile.

2. Autenticazione assente sull'endpoint WebSocket

L'endpoint WebSocket MCP non richiedeva autenticazione, token di sessione o controlli sull'origine. Qualsiasi processo locale — o qualsiasi script in esecuzione all'interno di una pagina web visualizzata dall'agente — poteva raggiungere il WebSocket e inviare comandi senza credenziali . Ciò significava che non c'era modo per il servizio di distinguere tra chiamate legittime agli strumenti dell'agente e istruzioni dannose iniettate dalla pagina web dell'aggressore.

3. Avvio di processi non sicuro dai comandi degli strumenti

Il servizio MCP eseguiva ciecamente i comandi degli strumenti ricevuti tramite WebSocket. Consentiva la creazione arbitraria di processi senza sandboxing, controlli sulle capacità o conferma da parte dell'utente . Una volta che il contenuto dell'aggressore raggiungeva il WebSocket, poteva istruire il servizio per eseguire qualsiasi comando sull'host.

Combinate, queste tre debolezze permettono a una pagina web di istruire il motore di navigazione dell'agente AI a connettersi al WebSocket MCP, inviare comandi appositamente predisposti ed eseguire codice arbitrario — tutto senza che l'utente debba cliccare un secondo pulsante .

Versioni interessate e come è stata corretta

La vulnerabilità esisteva solo nel ramo di sviluppo di AutoGen Studio, l'interfaccia utente di prototipazione open-source per il framework multi-agente AutoGen di Microsoft . Non è mai stata inclusa in alcuna release PyPI di AutoGen Studio o di AutoGen stesso . Dopo che Microsoft ha segnalato il problema ai manutentori di AutoGen tramite il Microsoft Security Response Center (MSRC), la correzione è stata applicata al ramo di sviluppo . Si consiglia agli utenti di aggiornare all'ultima versione di AutoGen Studio per ricevere la patch . Al momento non è stato segnalato alcun numero CVE per questo problema nelle fonti disponibili.

Implicazioni più ampie per la sicurezza degli agenti AI

Oltre alla vulnerabilità specifica, Microsoft sottolinea che AutoJack dimostra un rischio architetturale fondamentale per qualsiasi framework di IA agenziale che combini la navigazione web con l'accesso locale agli strumenti . Il sandbox del browser è stato progettato per isolare i contenuti web dal sistema operativo. Ma un agente AI che si trova all'interno del perimetro di fiducia e agisce sui contenuti visualizzati crea un ponte dal web aperto a operazioni locali privilegiate .

Microsoft avverte che il presupposto tradizionale di trattare localhost come una zona di fiducia implicita sicura non è più valido quando sono coinvolti agenti . L'azienda raccomanda che i framework di IA agenziale adottino:

• Autenticazione esplicita per tutti gli endpoint MCP, anche quelli in ascolto su localhost
• Convalida dell'origine per garantire che solo l'agente legittimo possa inviare comandi
• Controlli di accesso basati sulle capacità che limitino ciò che ogni comando dello strumento può fare
• Sandboxing dei processi per qualsiasi strumento che possa accedere alle risorse di sistema

Localhost era un confine di sicurezza. Con gli agenti AI che navigano sul web aperto, è diventato una superficie d'attacco.