AutoJack漏洞：一個毒網頁即可騎劫AI代理 奪取主機控制權

1. 盲目信任localhost

MCP WebSocket將所有經由本地回環介面（127.0.0.1）嚟嘅流量都當成係可信嘅。佢冇驗證個請求究竟係嚟自正規嘅代理，定係嚟自攻擊者嘅網頁內容 。因為代理本身就喺本地運行，所以任何由代理載入嘅網頁都可以傳送WebSocket訊息，而MCP服務會照單全收，當成係嚟自可信嘅本地來源。

2. WebSocket端點冇身份驗證

呢個MCP WebSocket唔需要任何身份驗證、Session Token或者來源檢查。任何本地程序——或者喺代理渲染嘅網頁入面執行嘅指令碼——都可以直接連過去，唔需要密碼就發送指令 。換句話講，服務根本冇辦法分辨邊啲係正常代理嘅工具呼叫，邊啲係攻擊者網頁注入嘅惡意指令。

3. 唔安全嘅程式生成機制

MCP服務收到WebSocket嘅工具指令之後，會照樣執行，生成新程序，冇任何沙箱隔離、權限檢查或者用戶確認 。一旦攻擊者嘅內容成功連接到WebSocket，佢就可以命令個服務喺主機上執行任何指令。

呢三個弱點加埋一齊，就令到一個惡意網頁可以指示AI代理嘅瀏覽引擎去連接MCP WebSocket，傳送精心構造嘅工具指令，然後執行任意程式碼——整個過程唔使用戶再㩒任何掣 。

受影響版本同修補方法

呢個漏洞只存在於 AutoGen Studio嘅開發分支，AutoGen Studio係微軟AutoGen多代理框架嘅開源原型設計UI 。佢從來冇出現喺任何AutoGen Studio嘅PyPI正式發行版入面 。微軟透過Microsoft Security Response Center (MSRC) 將問題報告畀AutoGen嘅維護團隊之後，相關修補已經應用咗喺開發分支度 。用戶最好更新到最新版本嘅AutoGen Studio以獲得修補 。根據現有資料，呢個漏洞暫時冇CVE編號。

對AI代理安全嘅更深層啟示

除咗呢個具體漏洞之外，微軟仲強調AutoJack展示咗一個 根本嘅架構風險，適用於任何同時具備網頁瀏覽同本地工具存取能力嘅AI代理框架 。瀏覽器沙箱本來係設計嚟隔離網頁內容同操作系統嘅。但係，一個AI代理如果身處信任邊界入面，並且會根據渲染出嚟嘅內容採取行動，就會喺開放互聯網同有特權嘅本地操作之間建立一條橋樑 。

微軟警告，傳統上將localhost當成安全嘅隱含信任區呢個假設，喺AI代理出現之後已經唔再成立 。佢哋建議代理式AI框架應該採用：

• 明確嘅身份驗證，就算係監聽localhost嘅MCP端點都要
• 來源驗證，確保只有合法代理先可以發送指令
• 基於權限嘅存取控制，限制每個工具指令可以做啲咩
• 程序沙箱隔離，特別係任何可以存取系統資源嘅工具

localhost以前係一條安全邊界。但係當AI代理可以自由瀏覽開放互聯網嘅時候，佢已經變成咗一個攻擊面。