Apa yang terjadi
Microsoft mengungkapkan pada 18 Juni 2026 rantai eksploitasi (AutoJack) yang ditemukan di cabang pengembangan AutoGen Studio: halaman web berbahaya yang dirender oleh agen browsing AI dapat membuka WebSocket ke ws://localhost:8081/api/mcp/ws/, melampaui batas kepercayaan localhost, dan menghasilkan proses arbitrer pada mesin host — mencapai RCE tanpa interaksi pengguna apa pun di luar agen mengunjungi halaman. Permukaan rentan diperkuat sebelum mencapai rilis PyPI. Pengungkapan Microsoft mendokumentasikan kelas serangan secara sistemik: kerangka agen apa pun yang (a) menelusuri konten web yang tidak terpercaya dan (b) mengekspos layanan localhost istimewa secara struktural rentan.
Mengapa penting
AutoJack mendefinisikan kelas serangan yang novel dan berlaku secara luas — bukan hanya bug AutoGen. Setiap agen browsing AI yang dipasangkan dengan server MCP lokal atau alat pengembang (ekstensi VS Code, titik akhir LLM lokal, dll.) berbagi risiko ini. Asumsi kepercayaan localhost yang mendasari sebagian besar alat AI sisi pengembang sekarang secara eksplisit rusak.
Cakupan penerapan
Semua tim yang menjalankan agen browsing AI (AutoGen, LangGraph, CrewAI, kustom) bersama server MCP lokal atau layanan localhost istimewa harus segera mengaudit isolasi jaringan mereka. Pengembang kerangka kerja harus menambahkan autentikasi dan validasi asal ke semua titik akhir WebSocket localhost.