AutoJack: Hoe Microsoft ontdekte dat één kwaadwillige webpagina je AI-agent kan kapen voor RCE

1. Blind vertrouwen in localhost

De MCP WebSocket accepteerde al het verkeer van de loopback-interface (127.0.0.1) als inherent betrouwbaar. Er werd niet gecontroleerd of het verzoek daadwerkelijk afkomstig was van de legitieme agent of van door de aanvaller gecontroleerde webinhoud die de agent had weergegeven . Omdat de agent zelf lokaal draait, kon elke door de agent geladen webpagina WebSocket-berichten versturen die de MCP-service als afkomstig van een vertrouwde lokale bron behandelde.

2. Ontbrekende authenticatie op het WebSocket-eindpunt

De MCP WebSocket vereiste geen authenticatie, sessietokens of herkomstcontroles. Elk lokaal proces – of elk script dat draaide binnen een door de agent weergegeven webpagina – kon het WebSocket bereiken en opdrachten sturen zonder inloggegevens . Hierdoor was er geen manier voor de service om onderscheid te maken tussen legitieme aanroepen van de agent en kwaadwillige instructies van een aanvallerswebpagina.

3. Onveilig starten van processen via toolopdrachten

De MCP-service voerde toolopdrachten die via het WebSocket binnenkwamen blindelings uit. Het stond het willekeurig starten van processen toe zonder sandboxing, capaciteitscontroles of gebruikersbevestiging . Zodra de inhoud van de aanvaller het WebSocket bereikte, kon deze de service opdragen om elk willekeurig commando op de host uit te voeren.

In combinatie zorgen deze drie zwakheden ervoor dat een webpagina de browse-engine van de AI-agent kan instrueren om verbinding te maken met het MCP WebSocket, op maat gemaakte toolopdrachten te sturen en willekeurige code uit te voeren – allemaal zonder dat de gebruiker nog een knop hoeft in te drukken .

Getroffen builds en hoe het is opgelost

De kwetsbaarheid bestond alleen in de ontwikkelingsbranch van AutoGen Studio, de open-source prototype-UI voor Microsofts AutoGen multi-agentframework . Het is nooit in een PyPI-release van AutoGen Studio of AutoGen zelf terechtgekomen . Nadat Microsoft het probleem via het Microsoft Security Response Center (MSRC) aan de beheerders van AutoGen had gemeld, werd de oplossing in de ontwikkelingsbranch doorgevoerd . Gebruikers wordt geadviseerd om de nieuwste versie van AutoGen Studio te installeren om de patch te ontvangen . Er is voor dit probleem geen CVE-nummer gerapporteerd in de beschikbare bronnen.

Brede implicaties voor de beveiliging van AI-agenten

Naast de specifieke kwetsbaarheid benadrukt Microsoft dat AutoJack een fundamenteel architectuurrisico aantoont voor elk agentisch AI-framework dat surfen op het web combineert met lokale tooltoegang . De browser-sandbox was ontworpen om webinhoud van het besturingssysteem te isoleren. Maar een AI-agent die zich binnen de vertrouwensgrens bevindt en handelt op basis van weergegeven inhoud, creëert een brug van het open web naar bevoorrechte lokale operaties .

Microsoft waarschuwt dat de traditionele aanname dat localhost een veilige impliciete vertrouwenszone is, niet langer opgaat wanneer er agenten in het spel zijn . Het bedrijf beveelt aan dat agentische AI-frameworks het volgende adopteren:

• Expliciete authenticatie voor alle MCP-eindpunten, ook die op localhost luisteren
• Herkomstvalidatie om ervoor te zorgen dat alleen de legitieme agent opdrachten kan sturen
• Capaciteitsgebaseerde toegangscontroles die beperken wat elke toolopdracht kan doen
• Processandboxing voor elke tool die systeembronnen kan bereiken

Localhost was ooit een beveiligingsgrens. Nu AI-agenten het open web verkennen, is het een aanvalsoppervlak geworden.