AutoJack: Satu Halaman Web, Satu Langkah ke RCE

1. Kepercayaan buta terhadap localhost

MCP WebSocket menerima semua trafik dari antara muka loopback (127.0.0.1) sebagai dipercayai secara semula jadi. Ia tidak mengesahkan sama ada permintaan itu benar-benar datang daripada agen yang sah atau daripada kandungan web yang dikawal penyerang yang telah diberikan oleh agen . Oleh kerana agen itu sendiri berjalan secara tempatan, mana-mana halaman web yang dimuatkan oleh agen boleh menghantar mesej WebSocket yang dianggap oleh perkhidmatan MCP seolah-olah ia berasal dari sumber tempatan yang dipercayai.

2. Ketiadaan pengesahan pada titik akhir WebSocket

Titik akhir MCP WebSocket tidak memerlukan pengesahan, token sesi, atau pemeriksaan asal. Mana-mana proses tempatan — atau mana-mana skrip yang berjalan di dalam halaman web yang diberikan oleh agen — boleh mencapai WebSocket dan menghantar arahan tanpa sebarang kelayakan . Ini bermakna tiada cara untuk perkhidmatan membezakan antara panggilan alat agen yang sah dan arahan berniat jahat yang disuntik oleh halaman web penyerang.

3. Proses penjanaan tidak selamat daripada arahan alat

Perkhidmatan MCP melaksanakan arahan alat yang diterima melalui WebSocket secara membuta tuli. Ia membenarkan penciptaan proses sewenang-wenangnya tanpa pengasingan (sandbox), pemeriksaan keupayaan, atau pengesahan pengguna . Sebaik sahaja kandungan penyerang mencapai WebSocket, ia boleh mengarahkan perkhidmatan untuk menjalankan sebarang arahan pada hos.

Apabila digabungkan, ketiga-tiga kelemahan ini membolehkan halaman web mengarahkan enjin pelayaran agen AI untuk menyambung ke MCP WebSocket, menghantar arahan alat yang direka khas, dan melaksanakan kod sewenang-wenangnya — semuanya tanpa pengguna mengklik butang kedua .

Binaan Yang Terjejas dan Cara Ia Diperbaiki

Kelemahan ini hanya wujud dalam cawangan pembangunan AutoGen Studio, UI prototaip sumber terbuka untuk rangka kerja berbilang agen AutoGen Microsoft . Ia tidak pernah dihantar dalam mana-mana keluaran PyPI AutoGen Studio atau AutoGen itu sendiri . Selepas Microsoft melaporkan isu ini kepada penyelenggara AutoGen melalui Microsoft Security Response Center (MSRC), pembetulan telah digunakan pada cawangan pembangunan . Pengguna dinasihatkan untuk mengemas kini ke versi terkini AutoGen Studio untuk menerima tampung . Tiada nombor CVE telah dilaporkan untuk isu ini setakat sumber yang tersedia.

Implikasi Lebih Luas untuk Keselamatan AI Agentic

Di luar kelemahan khusus, Microsoft menekankan bahawa AutoJack menunjukkan risiko seni bina asas untuk mana-mana rangka kerja AI agentic yang menggabungkan pelayaran web dengan akses alat tempatan . Sandbox pelayar direka bentuk untuk mengasingkan kandungan web daripada sistem pengendalian. Tetapi agen AI yang berada di dalam sempadan kepercayaan dan bertindak berdasarkan kandungan yang diberikan mewujudkan jambatan dari web terbuka ke operasi tempatan yang istimewa .

Microsoft memberi amaran bahawa andaian tradisional untuk menganggap localhost sebagai zon kepercayaan tersirat yang selamat tidak lagi sah apabila agen terlibat . Syarikat itu mengesyorkan agar rangka kerja AI agentik menggunakan:

• Pengesahan eksplisit untuk semua titik akhir MCP, walaupun yang mendengar pada localhost
• Pengesahan asal untuk memastikan hanya agen yang sah boleh menghantar arahan
• Kawalan akses berasaskan keupayaan yang mengehadkan apa yang boleh dilakukan oleh setiap arahan alat
• Pengasingan proses untuk mana-mana alat yang boleh mencapai sumber sistem

Localhost dahulunya adalah sempadan keselamatan. Dengan agen AI melayari web terbuka, ia kini telah menjadi permukaan serangan.