AutoJack: Cách Microsoft phát hiện ra rằng một trang web độc hại duy nhất có thể chiếm quyền AI Agent của bạn để thực thi mã từ xa (RCE)

1. Tin tưởng mù quáng vào localhost

WebSocket MCP chấp nhận tất cả lưu lượng từ giao diện loopback (127.0.0.1) như một nguồn đáng tin cậy. Nó không xác thực xem yêu cầu có thực sự đến từ agent hợp pháp hay từ nội dung web do kẻ tấn công kiểm soát mà agent đã hiển thị . Bởi vì bản thân agent chạy cục bộ, bất kỳ trang web nào được agent tải đều có thể gửi tin nhắn WebSocket mà dịch vụ MCP coi như đến từ một nguồn cục bộ đáng tin cậy.

2. Thiếu xác thực trên điểm cuối WebSocket

Điểm cuối WebSocket MCP không yêu cầu xác thực, mã thông báo phiên hoặc kiểm tra nguồn gốc. Bất kỳ tiến trình cục bộ nào — hoặc bất kỳ tập lệnh nào chạy bên trong trang web được agent hiển thị — đều có thể truy cập WebSocket và gửi lệnh mà không cần thông tin xác thực . Điều này có nghĩa là không có cách nào để dịch vụ phân biệt giữa các lệnh gọi công cụ agent hợp pháp và các hướng dẫn độc hại do trang web của kẻ tấn công tiêm vào.

3. Sinh tiến trình không an toàn từ các lệnh công cụ

Dịch vụ MCP thực thi một cách mù quáng các lệnh công cụ nhận được qua WebSocket. Nó cho phép tạo tiến trình tùy ý mà không có sandbox, kiểm tra khả năng hoặc xác nhận của người dùng . Khi nội dung của kẻ tấn công đến được WebSocket, nó có thể hướng dẫn dịch vụ chạy bất kỳ lệnh nào trên máy chủ.

Khi kết hợp, ba điểm yếu này cho phép một trang web hướng dẫn công cụ duyệt web của AI agent kết nối với WebSocket MCP, gửi các lệnh công cụ được chế tạo và thực thi mã tùy ý — tất cả mà không cần người dùng nhấp thêm nút nào .

Các bản dựng bị ảnh hưởng và cách khắc phục

Lỗ hổng chỉ tồn tại trong nhánh phát triển của AutoGen Studio, giao diện người dùng mã nguồn mở để tạo mẫu cho khung đa tác tử AutoGen của Microsoft . Nó chưa bao giờ được đưa vào bất kỳ bản phát hành PyPI nào của AutoGen Studio hoặc AutoGen . Sau khi Microsoft báo cáo vấn đề cho những người duy trì AutoGen thông qua Trung tâm Ứng cứu Bảo mật Microsoft (MSRC), bản sửa lỗi đã được áp dụng cho nhánh phát triển . Người dùng được khuyến cáo cập nhật lên phiên bản AutoGen Studio mới nhất để nhận bản vá . Cho đến nay, chưa có mã CVE nào được báo cáo cho vấn đề này từ các nguồn có sẵn.

Hàm ý rộng hơn đối với bảo mật AI Agent

Ngoài lỗ hổng cụ thể, Microsoft nhấn mạnh rằng AutoJack cho thấy một rủi ro kiến trúc cơ bản cho bất kỳ khung AI tác nhân nào kết hợp duyệt web với quyền truy cập công cụ cục bộ . Hộp cát của trình duyệt được thiết kế để cách ly nội dung web khỏi hệ điều hành. Nhưng một AI agent nằm bên trong ranh giới tin cậy và hành động dựa trên nội dung được hiển thị sẽ tạo ra một cầu nối từ web mở đến các hoạt động cục bộ có đặc quyền .

Microsoft cảnh báo rằng giả định truyền thống coi localhost như một vùng tin cậy ngầm an toàn không còn đúng nữa khi có sự tham gia của các agent . Công ty khuyến nghị rằng các khung AI tác nhân nên áp dụng:

• Xác thực rõ ràng cho tất cả các điểm cuối MCP, ngay cả những điểm cuối lắng nghe trên localhost
• Xác thực nguồn gốc để đảm bảo chỉ có agent hợp pháp mới có thể gửi lệnh
• Kiểm soát truy cập dựa trên khả năng để giới hạn những gì mỗi lệnh công cụ có thể làm
• Sandbox tiến trình cho bất kỳ công cụ nào có thể truy cập tài nguyên hệ thống

Localhost từng là một ranh giới bảo mật. Với các AI agent duyệt web mở, nó đã trở thành một bề mặt tấn công.