AutoJack: одна веб-страница перехватывает ИИ-агента и выполняет код на вашем компьютере

1. Слепое доверие к localhost

MCP WebSocket принимал весь трафик от интерфейса loopback (127.0.0.1) как изначально доверенный. Он не проверял, пришел ли запрос от легитимного агента или от атакующего веб-контента, который агент отобразил . Поскольку агент сам работает локально, любая веб-страница, загруженная агентом, могла отправлять сообщения WebSocket, которые MCP-сервис воспринимал как поступившие из доверенного локального источника.

2. Отсутствие аутентификации на WebSocket-эндоинте

MCP WebSocket не требовал никакой аутентификации, сессионных токенов или проверки источника. Любой локальный процесс — или любой скрипт, выполняющийся внутри веб-страницы, отображаемой агентом, — мог подключиться к WebSocket и отправлять команды без учетных данных . Это означало, что сервис не мог отличить легитимные вызовы инструментов агента от вредоносных инструкций, внедренных страницей злоумышленника.

3. Небезопасный запуск процессов из команд инструментов

MCP-сервис слепо выполнял команды инструментов, полученные через WebSocket. Он позволял создавать произвольные процессы без песочницы, проверки прав или подтверждения пользователя . Как только контент злоумышленника добирался до WebSocket, он мог отдать сервису команду выполнить любую команду на хосте.

Вместе эти три слабости позволяют веб-странице указать ИИ-агенту подключиться к MCP WebSocket, отправить сфабрикованные команды инструментов и выполнить произвольный код — и все это без единого дополнительного клика пользователя .

Какие версии пострадали и как это исправили?

Уязвимость существовала только в ветке разработки AutoGen Studio — открытом прототипе пользовательского интерфейса для многомодульной платформы AutoGen от Microsoft . Она никогда не попадала в публичные релизы на PyPI ни AutoGen Studio, ни самого AutoGen . После того как Microsoft сообщила о проблеме команде разработчиков через Центр реагирования на угрозы Microsoft (MSRC), исправление было внесено в ветку разработки . Пользователям рекомендуется обновить AutoGen Studio до последней версии, чтобы получить патч . На момент публикации источников CVE-номер для этой проблемы не присвоен.

Более широкие последствия для безопасности ИИ-агентов

Помимо конкретной уязвимости, Microsoft подчеркивает, что AutoJack демонстрирует фундаментальный архитектурный риск для любой модульной ИИ-платформы, которая сочетает веб-серфинг с локальным доступом к инструментам . Песочница браузера была спроектирована для изоляции веб-контента от операционной системы. Но ИИ-агент, который находится внутри доверенной зоны и действует на основе отображенного контента, создает мост от открытого Интернета к привилегированным локальным операциям .

Microsoft предупреждает, что традиционное предположение о том, что localhost — это безопасная неявная доверенная зона, больше не работает, когда в игру вступают агенты . Компания рекомендует всем платформам ИИ-агентов внедрить:

• Явную аутентификацию для всех точек подключения MCP, даже тех, что слушают на localhost ;
• Проверку источника (Origin) , чтобы только легитимный агент мог отправлять команды ;
• Контроль доступа на основе прав (capability-based access controls), ограничивающий возможности каждой команды инструмента ;
• Изоляцию процессов в песочницу для любого инструмента, который может обращаться к системным ресурсам .

Раньше localhost был границей безопасности. С ИИ-агентами, путешествующими по открытой сети, он стал поверхностью атаки.