AutoJack Saldırısı: Yapay Zeka Ajanınızı Hedef Alan Yeni Tehdit

1. Localhost'a kör güven

MCP WebSocket, tüm trafiği loopback arayüzünden (127.0.0.1) güvenilir kabul ediyordu. Talebin gerçekten meşru ajandan mı yoksa ajanın işlediği saldırgan kontrollü web içeriğinden mi geldiğini doğrulamıyordu . Ajanın kendisi yerel olarak çalıştığı için, ajan tarafından yüklenen herhangi bir web sayfası, MCP hizmetinin güvenilir bir yerel kaynaktan gelmiş gibi işlem yaptığı WebSocket mesajları gönderebiliyordu.

2. WebSocket bağlantı noktasında eksik kimlik doğrulama

MCP WebSocket, herhangi bir kimlik doğrulama, oturum belirteci veya kaynak denetimi gerektirmiyordu. WebSocket'e ulaşabilen herhangi bir yerel işlem veya ajan tarafından işlenen bir web sayfası içinde çalışan herhangi bir script, kimlik bilgisi olmadan komut gönderebiliyordu . Bu, hizmetin meşru ajan araç çağrıları ile saldırganın web sayfası tarafından enjekte edilen kötü niyetli talimatlar arasında ayrım yapamaması anlamına geliyordu.

3. Araç komutlarından güvensiz işlem başlatma

MCP hizmeti, WebSocket üzerinden alınan araç komutlarını körü körüne yerine getiriyordu. Herhangi bir sanal alan (sandbox) izolasyonu, yetenek denetimi veya kullanıcı onayı olmadan keyfi işlem oluşturmaya izin veriyordu . Saldırganın içeriği WebSocket'e ulaştığında, hizmete ana bilgisayarda herhangi bir komutu çalıştırmasını söyleyebiliyordu.

Bir araya geldiğinde, bu üç zayıflık, bir web sayfasının AI ajanının tarama motoruna MCP WebSocket'ine bağlanması, hazırlanmış araç komutları göndermesi ve kullanıcının ikinci bir düğmeye tıklamasına gerek kalmadan keyfi kod yürütmesi talimatını vermesine olanak tanıyor .

Etkilenen Sürümler ve Düzeltme Yöntemi

Güvenlik açığı yalnızca Microsoft'un AutoGen çoklu ajan çerçevesi için açık kaynaklı prototip oluşturma arayüzü olan AutoGen Studio'nun geliştirme dalında mevcuttu . Hiçbir zaman AutoGen Studio veya AutoGen'in herhangi bir PyPI sürümünde yer almadı . Microsoft, sorunu Microsoft Güvenlik Yanıt Merkezi (MSRC) aracılığıyla AutoGen bakımcılarına bildirdikten sonra, düzeltme geliştirme dalına uygulandı . Kullanıcılara yamayı almak için AutoGen Studio'nun en son sürümüne güncellemeleri tavsiye ediliyor . Mevcut kaynaklara göre bu sorun için henüz bir CVE numarası bildirilmemiştir.

AI Ajan Güvenliği İçin Daha Geniş Kapsamlı Çıkarımlar

Microsoft, belirli güvenlik açığının ötesinde, AutoJack'in web taramasını yerel araç erişimiyle birleştiren herhangi bir etmen tabanlı AI çerçevesi için temel bir mimari risk oluşturduğunu vurguluyor . Tarayıcı sanal alanı, web içeriğini işletim sisteminden izole etmek için tasarlanmıştı. Ancak güven sınırının içinde yer alan ve işlenen içerik üzerinde hareket eden bir AI ajanı, açık web'den ayrıcalıklı yerel işlemlere bir köprü oluşturuyor .

Microsoft, aracıların dahil olduğu durumlarda localhost'u güvenli bir örtülü güven bölgesi olarak ele alan geleneksel varsayımın artık geçerli olmadığı konusunda uyarıyor . Şirket, etmen tabanlı AI çerçevelerinin aşağıdakileri benimsemesini öneriyor:

• Tüm MCP uç noktaları için açık kimlik doğrulama, localhost'ta dinlenenler bile dahil
• Yalnızca meşru ajanın komut gönderebilmesini sağlamak için kaynak doğrulama
• Her araç komutunun neler yapabileceğini sınırlayan yetenek tabanlı erişim kontrolleri
• Sistem kaynaklarına ulaşabilen herhangi bir araç için işlem sanal alanı (process sandboxing)

Localhost eskiden bir güvenlik sınırıydı. AI ajanları açık web'de gezinirken, artık bir saldırı yüzeyi haline geldi.