AutoJack: En enda webbsida kan kapa din AI-agent – så fungerar attacken

1. Blind tillit till localhost

MCP WebSocket accepterade all trafik från loopback-gränssnittet (127.0.0.1) som i sig självt betrodd. Den validerade inte om begäran faktiskt kom från den legitima agenten eller från angriparkontrollerat webbinnehåll som agenten hade renderat . Eftersom agenten själv kör lokalt kunde alla webbsidor som laddades av agenten skicka WebSocket-meddelanden som MCP-tjänsten behandlade som om de kom från en betrodd lokal källa.

2. Avsaknad av autentisering på WebSocket-slutpunkten

MCP WebSocket krävde varken autentisering, sessions-tokens eller kontroll av ursprung (origin). Alla lokala processer – eller skript som kördes inne i en webbsida som renderats av agenten – kunde nå WebSocket:en och skicka kommandon utan inloggningsuppgifter . Det innebar att tjänsten inte hade något sätt att skilja mellan legitima anrop från agenten och skadliga instruktioner från angriparens webbsida.

3. Osäker processhantering från verktygskommandon

MCP-tjänsten körde blint verktygskommandon som den fick via WebSocket:en. Den tillät att godtyckliga processer skapades utan sandlådemekanismer, behörighetskontroller eller bekräftelse från användaren . När angriparens innehåll väl nådde WebSocket:en kunde det instruera tjänsten att köra vilket kommando som helst på värddatorn.

När dessa tre svagheter kombineras kan en webbsida instruera AI-agentens webbläsarmotor att ansluta till MCP WebSocket:en, skicka konstruerade verktygskommandon och utföra godtycklig kod – allt utan att användaren klickar på en enda knapp .

Berörda versioner och hur det åtgärdades

Sårbarheten fanns endast i utvecklingsgrenen av AutoGen Studio, vilket är det öppna prototypgränssnittet för Microsofts ramverk AutoGen för multi-agent-system . Den nådde aldrig någon PyPI-release av AutoGen Studio eller AutoGen i sig . Efter att Microsoft rapporterade problemet till AutoGen-utvecklarna via Microsoft Security Response Center (MSRC) åtgärdades sårbarheten i utvecklingsgrenen . Användare rekommenderas att uppdatera till senaste versionen av AutoGen Studio för att få korrigeringen . Ingen CVE har rapporterats för detta problem i de tillgängliga källorna.

Bredare implikationer för säkerheten hos AI-agenter

Utöver den specifika sårbarheten pekar Microsoft på att AutoJack visar en fundamental arkitektonisk risk för alla ramverk för AI-agenter som kombinerar webbsurfning med lokal åtkomst till verktyg . Webbläsarens sandlåda är utformad för att isolera webbinnehåll från operativsystemet. Men en AI-agent som sitter innanför förtroendegränsen och agerar på renderat innehåll skapar en bro från den öppna webben till privilegierade lokala operationer .

Microsoft varnar för att den traditionella tanken att behandla localhost som en säker implicit förtroendezon inte längre håller när AI-agenter är inblandade . Företaget rekommenderar att ramverk för AI-agenter inför:

• Explicit autentisering för alla MCP-slutpunkter, även de som lyssnar på localhost
• Validering av ursprung (origin) för att säkerställa att endast den legitima agenten kan skicka kommandon
• Behörighetsbaserade åtkomstkontroller som begränsar vad varje verktygskommando kan göra
• Processandning i sandlåda för alla verktyg som kan nå systemresurser

Localhost var en gång en säkerhetsgräns. Med AI-agenter som surfar på den öppna webben har det blivit en attackyta.