AutoJack: como a Microsoft descobriu que uma única página maliciosa pode sequestrar seu agente de IA para executar comandos no PC

1. Confiança cega em localhost

O WebSocket MCP aceitava todo o tráfego vindo da interface de loopback (127.0.0.1) como inerentemente confiável. Ele não validava se a requisição realmente vinha do agente legítimo ou de um conteúdo web controlado pelo atacante que o agente havia renderizado . Como o próprio agente roda localmente, qualquer página carregada por ele podia enviar mensagens WebSocket que o serviço MCP tratava como se fossem de uma fonte local confiável.

2. Ausência de autenticação no endpoint WebSocket

O WebSocket MCP não exigia autenticação, tokens de sessão ou verificação de origem. Qualquer processo local — ou qualquer script rodando dentro de uma página web renderizada pelo agente — conseguia se conectar ao WebSocket e enviar comandos sem credenciais . Isso significa que não havia como o serviço distinguir entre chamadas legítimas de ferramentas do agente e instruções maliciosas injetadas pela página do atacante.

3. Execução insegura de comandos a partir de chamadas de ferramentas

O serviço MCP executava cegamente os comandos de ferramenta recebidos pelo WebSocket. Ele permitia a criação de processos arbitrários sem qualquer tipo de sandbox, verificação de capacidade ou confirmação do usuário . Uma vez que o conteúdo do atacante alcançava o WebSocket, ele podia instruir o serviço a rodar qualquer comando no sistema.

Quando combinadas, essas três falhas permitem que uma página da web instrua o mecanismo de navegação do agente de IA a se conectar ao WebSocket MCP, enviar comandos de ferramenta maliciosos e executar código arbitrário — tudo sem que o usuário precise clicar em um segundo botão .

Versões afetadas e como foi corrigido

A vulnerabilidade existia apenas na branch de desenvolvimento do AutoGen Studio, a interface de prototipação open-source para o framework de múltiplos agentes AutoGen da Microsoft . Ela nunca foi incluída em nenhum lançamento do AutoGen Studio ou do próprio AutoGen no PyPI . Após a Microsoft relatar o problema aos mantenedores do AutoGen através do Microsoft Security Response Center (MSRC), a correção foi aplicada na branch de desenvolvimento . Os usuários são aconselhados a atualizar para a versão mais recente do AutoGen Studio para receber a correção . Nenhum número CVE foi reportado para este problema até o momento com base nas fontes disponíveis.

Implicações mais amplas para a segurança de agentes de IA

Além da vulnerabilidade específica, a Microsoft destaca que o AutoJack demonstra um risco arquitetural fundamental para qualquer framework de IA agêntica que combine navegação web com acesso a ferramentas locais . O sandbox do navegador foi projetado para isolar o conteúdo web do sistema operacional. Mas um agente de IA que fica dentro do limite de confiança e age com base no conteúdo renderizado cria uma ponte entre a web aberta e operações privilegiadas locais .

A Microsoft alerta que a suposição tradicional de tratar o localhost como uma zona de confiança implícita segura não se sustenta mais quando agentes estão envolvidos . A empresa recomenda que frameworks de IA agêntica adotem:

• Autenticação explícita para todos os endpoints MCP, mesmo aqueles escutando em localhost
• Validação de origem para garantir que apenas o agente legítimo possa enviar comandos
• Controles de acesso baseados em capacidade que limitem o que cada comando de ferramenta pode fazer
• Sandbox de processos para qualquer ferramenta que possa acessar recursos do sistema

Localhost costumava ser uma fronteira de segurança. Com agentes de IA navegando na web aberta, ele se tornou uma superfície de ataque.