AutoJack: Microsoft ostrzega przed nowym typem ataku na agentów AI

1. Ślepe zaufanie do localhost

MCP WebSocket akceptował cały ruch z interfejsu pętli zwrotnej (127.0.0.1) jako z natury zaufany. Nie sprawdzał, czy żądanie faktycznie pochodzi z legalnego agenta, czy z kontrolowanej przez atakującego treści internetowej wyrenderowanej przez agenta . Ponieważ agent działa lokalnie, każda strona załadowana przez agenta mogła wysyłać komunikaty WebSocket, które usługa MCP traktowała tak, jakby pochodziły z zaufanego lokalnego źródła.

2. Brak uwierzytelnienia w punkcie końcowym WebSocket

Punkt końcowy MCP WebSocket nie wymagał uwierzytelnienia, tokenów sesji ani kontroli pochodzenia. Każdy lokalny proces – lub skrypt działający w ramach strony WWW wyrenderowanej przez agenta – mógł dotrzeć do WebSocketu i wysyłać polecenia bez poświadczeń . Oznaczało to, że usługa nie miała możliwości odróżnienia legalnych wywołań narzędzi agenta od złośliwych instrukcji wstrzykniętych przez stronę atakującego.

3. Niebezpieczne uruchamianie procesów z poleceń narzędzi

Usługa MCP ślepo wykonywała polecenia narzędzi otrzymane przez WebSocket. Umożliwiała tworzenie dowolnych procesów bez sandboxingu, kontroli uprawnień ani potwierdzenia ze strony użytkownika . Gdy treść atakującego dotarła do WebSocketu, mogła nakazać usłudze uruchomienie dowolnego polecenia na hoście.

Po połączeniu te trzy słabości pozwalają stronie WWW nakazać silnikowi przeglądania agenta AI połączenie się z MCP WebSocket, wysłanie spreparowanych poleceń narzędzi i wykonanie dowolnego kodu – wszystko bez klikania przez użytkownika drugiego przycisku .

Dotknięte wersje i sposób załatania

Luka istniała wyłącznie w gałęzi deweloperskiej AutoGen Studio, czyli interfejsu prototypowania open-source dla platformy wieloagentowej AutoGen firmy Microsoft . Nigdy nie trafiła do żadnego wydania PyPI AutoGen Studio ani samego AutoGen . Po zgłoszeniu problemu do opiekunów AutoGen za pośrednictwem Microsoft Security Response Center (MSRC), poprawka została zastosowana w gałęzi deweloperskiej . Użytkownicy proszeni są o aktualizację do najnowszej wersji AutoGen Studio, aby otrzymać łatkę . Według dostępnych źródeł, dla tej luki nie zgłoszono jeszcze numeru CVE.

Szersze implikacje dla bezpieczeństwa agentów AI

Poza konkretną luką, Microsoft podkreśla, że AutoJack pokazuje fundamentalne ryzyko architektoniczne dla każdego frameworka agentowego AI, który łączy przeglądanie sieci z lokalnym dostępem do narzędzi . Piaskownica przeglądarki została zaprojektowana do izolowania treści internetowych od systemu operacyjnego. Ale agent AI, który znajduje się wewnątrz granicy zaufania i działa na podstawie wyrenderowanych treści, tworzy most z otwartej sieci do uprzywilejowanych operacji lokalnych .

Microsoft ostrzega, że tradycyjne założenie traktowania localhost jako bezpiecznej, domyślnej strefy zaufania nie ma już zastosowania, gdy w grę wchodzą agenci . Firma zaleca, aby frameworki agentowe AI przyjęły:

• Jawne uwierzytelnianie dla wszystkich punktów końcowych MCP, nawet tych nasłuchujących na localhost
• Walidację pochodzenia, aby upewnić się, że tylko legalny agent może wysyłać polecenia
• Kontrolę dostępu opartą na uprawnieniach, która ogranicza, co każde polecenie narzędzia może zrobić
• Sandboxing procesów dla każdego narzędzia, które może sięgać do zasobów systemowych

Localhost kiedyś stanowił granicę bezpieczeństwa. W dobie agentów AI przeglądających otwartą sieć, stał się powierzchnią ataku.