AutoJack: Slik kan én enkelt ondsinnet nettside kapre KI-agenten din og få full kontroll over maskinen

1. Blind tillit til localhost

MCP WebSocket-en godtok all trafikk fra loopback-grensesnittet (127.0.0.1) som iboende pålitelig. Den validerte ikke om forespørselen faktisk kom fra den legitime agenten eller fra angriperkontrollert nettsideinnhold som agenten hadde vist . Siden agenten selv kjører lokalt, kunne enhver nettside lastet av agenten sende WebSocket-meldinger som MCP-tjenesten behandlet som om de kom fra en pålitelig lokal kilde.

2. Manglende autentisering på WebSocket-endepunktet

MCP WebSocket-en krevde ingen autentisering, sesjonstokener eller kontroll av opprinnelse (origin). Enhver lokal prosess – eller ethvert skript som kjører i en nettside vist av agenten – kunne nå WebSocket-en og sende kommandoer uten legitimasjon . Dette betydde at tjenesten ikke kunne skille mellom legitime agentverktøykall og ondsinnede instruksjoner injisert av angriperens nettside.

3. Usikre prosesskall fra verktøykommandoer

MCP-tjenesten utførte blindt verktøykommandoer mottatt over WebSocket-en. Den tillot opprettelse av vilkårlige prosesser uten sandkassekjøring, kapabilitetskontroll eller brukerbekreftelse . Når angriperens innhold først nådde WebSocket-en, kunne den instruere tjenesten til å kjøre hvilken som helst kommando på vertsmaskinen.

Til sammen gjør disse tre svakhetene at en nettside kan instruere KI-agentens nettlesermotor til å koble seg til MCP WebSocket-en, sende tilpassede verktøykommandoer og utføre vilkårlig kode – alt uten at brukeren trykker på en eneste knapp .

Berørte versjoner og hvordan det ble rettet

Sårbarheten fantes kun i utviklingsgrenen til AutoGen Studio, det åpne prototype-grensesnittet for Microsofts AutoGen-rammeverk for multiagenter . Den ble aldri inkludert i noen PyPI-utgivelse av AutoGen Studio eller AutoGen selv . Etter at Microsoft rapporterte problemet til AutoGen-vedlikeholderne via Microsoft Security Response Center (MSRC), ble rettelsen brukt på utviklingsgrenen . Brukere anbefales å oppdatere til siste versjon av AutoGen Studio for å få rettelsen . Ingen CVE-nummer er rapportert for dette problemet i de tilgjengelige kildene.

Bredere implikasjoner for KI-agentsikkerhet

Utover den spesifikke sårbarheten understreker Microsoft at AutoJack demonstrerer en grunnleggende arkitektonisk risiko for ethvert agentbasert KI-rammeverk som kombinerer nettsurfing med lokal tilgang til verktøy . Nettleserens sandkasse ble designet for å isolere nettsideinnhold fra operativsystemet. Men en KI-agent som sitter innenfor tillitsgrensen og handler på gjengitt innhold, skaper en bro fra det åpne nettet til privilegerte lokale operasjoner .

Microsoft advarer om at den tradisjonelle antakelsen om å behandle localhost som en trygg, implisitt tillitssone ikke lenger holder når KI-agenter er involvert . Selskapet anbefaler at agentbaserte KI-rammeverk innfører:

• Eksplisitt autentisering for alle MCP-endepunkter, også de som lytter på localhost
• Validering av opprinnelse (origin) for å sikre at kun den legitime agenten kan sende kommandoer
• Kapabilitetsbasert tilgangskontroll som begrenser hva hver verktøykommando kan gjøre
• Sandkassekjøring av prosesser for ethvert verktøy som kan nå systemressurser

Localhost pleide å være en sikkerhetsgrense. Når KI-agenter surfer på det åpne nettet, har det blitt en angrepsflate.