Los investigadores de Microsoft han revelado detalles de una cadena de exploits llamada AutoJack que convierte un agente de navegación de IA en un vehículo de entrega para la ejecución remota de código.
Al manipular al agente para cargar la página web de un atacante, el JavaScript de la página podría llegar a un servicio local privilegiado en la misma máquina y generar un proceso en el host.
No hay credenciales ni pantallas de inicio de sesión, y no se requiere ninguna interacción adicional del usuario una vez que el agente carga la página. Un atacante simplemente necesita convencer al agente para que abra el archivo y puede utilizar un enlace incrustado, un campo URL o una inyección rápida.
La falla existe en AutoGen Studio, una interfaz de creación de prototipos de código abierto para el marco multiagente AutoGen de Microsoft Research. Este no es un error que afecte a todos los que instalan el paquete, por lo que vale la pena conocer correctamente los detalles del paquete.
Autogenstudio de instalación simple de pip extrae la versión estable actual 0.4.2.2, que es una compilación verificada por Microsoft, pero no tiene ninguna ruta de protocolo de contexto modelo (MCP).
Esta es la base de la declaración de Microsoft de que la superficie vulnerable MCP WebSocket «nunca se incluye en una versión de PyPI». Mantener construcciones estables. Sin embargo, el controlador vulnerable se envió a PyPI en dos versiones preliminares, 0.4.3.dev1 y 0.4.3.dev2.
Hacker News descargó y examinó ambos. Existe una ruta MCP WebSocket y el controlador toma comandos y los ejecuta directamente desde la solicitud, sin autenticar a la persona que llama. Ninguna construcción se elimina.
A menos que pase –pre o fije la versión, pip no instalará las versiones preliminares, por lo que su instalación simple nunca quedará expuesta. Cualquiera que haya instalado una de estas versiones preliminares lo hizo. Aún no hay compilaciones de PyPI que mejoren la rama principal. El código modificado está en la confirmación principal de GitHub b047730.
Como funciona la cadena
AutoJack pone en cascada tres debilidades de MCP WebSockets.
En primer lugar, el host local de confianza del socket es una comprobación destinada a bloquear los navegadores habituales que apuntan a sitios maliciosos. Sin embargo, el agente de navegación que se ejecuta en el mismo cuadro es localhost, por lo que cualquier cosa cargada heredará ese ID de localhost y pasará la verificación.
En segundo lugar, el middleware de autenticación omitió la ruta MCP, asumiendo que el controlador validaría el token por sí mismo. Eso nunca sucedió, por lo que el socket aceptó conexiones no autenticadas independientemente del modo de autenticación configurado.
En tercer lugar, el punto final recuperó y ejecutó el comando directamente desde los parámetros de la solicitud, pero no había una lista de permitidos que le permitiera iniciar el ejecutable.
En resumen, una página en Internet abierta representada por un agente local podría potencialmente ejecutar comandos elegidos por el atacante en la cuenta que ejecuta AutoGen Studio.
Microsoft describe esto como una investigación y no como una campaña activa, e informa que no hubo ninguna explotación real. La prueba de concepto utilizó un agente «Resumen de contenido web» que colocaba calc.exe, iniciado por el proceso AutoGen Studio, en el escritorio del desarrollador cuando se ingresaba la URL del atacante.
Microsoft informó este comportamiento al Centro de respuesta de seguridad de Microsoft y el mantenedor reforzó la rama principal con la confirmación b047730 (PR #7362). El controlador modificado ya no lee comandos de las URL. Los parámetros se almacenan en el lado del servidor detrás de una ID de sesión única y las ID desconocidas se rechazan. Las rutas MCP ahora se realizan a través de la ruta de autenticación normal. Esta mejora aún no se ha reflejado en la versión de PyPI.
que hacer
Autogenstudio de instalación simple de pip le proporciona 0.4.2.2, pero no tiene la ruta MCP, por lo que no se ve afectado.
Si instaló una versión preliminar, tiene un controlador vulnerable y no tiene una compilación de PyPI parcheada a la que migrar. Extraiga de GitHub principal comenzando con la confirmación b047730. Esa es la verdadera solución.
Separa las partes necesarias para el ataque hasta que las sueltes. No ejecute AutoGen Studio en la misma máquina que un agente de navegación o ejecución de código que accede a contenido que no es de confianza. Porque el encadenamiento sólo funciona si ambos comparten el mismo host local. Si necesita ejecutarlos juntos, sepárelos en contenedores o máquinas virtuales independientes y ejecute AutoGen Studio con una cuenta con pocos privilegios.
Los errores de AutoGen Studio se han solucionado en el código fuente. El patrón no lo es. Microsoft espera que otros marcos de agentes sigan su ejemplo. Eso significa servicios locales dominados, comprobaciones de host local que se tratan como seguridad y agentes que abren páginas que no son de confianza.
THN identificó el problema en ChatGPhish el mes pasado. Allí, el resumen de la página ChatGPT se convirtió en un vector de phishing. Microsoft tiene una discusión similar sobre localhost en su estudio Semantic Kernel RCE, rastreada como CVE-2026-26030 y CVE-2026-25592.
Simplemente comprobar localhost nuevamente no es suficiente. Autentique el plano de control, mantenga los procesos ejecutándose detrás de una lista de permitidos y proporcione al agente una identidad que no sea la propia sesión del desarrollador. Una vez que el agente puede navegar por la web abierta y acceder a servicios locales privilegiados, localhost ya no es un límite de confianza.
Source link
