何が起きたか
Microsoftは2026年6月18日、AutoGen Studioの開発ブランチで見つかった悪用チェーン(AutoJack)を開示しました。閲覧AIエージェントによってレンダリングされた悪質なウェブページは、ws://localhost:8081/api/mcp/ws/へのWebSocketを開くことができ、localhost信頼境界を越えて、ホストマシン上で任意のプロセスを生成することができます。ユーザーインタラクションなしでRCEを達成します。ただしエージェントがページを訪問する以上のものはありません。脆弱な表面はPyPIリリースに達する前に強化されました。Microsoftの開示は攻撃クラスを体系的に文書化しています。(a)信頼できないウェブコンテンツを閲覧し、(b)特権のあるlocalhostサービスを公開するエージェントフレームワークは構造的に脆弱です。
なぜ重要か
AutoJackは新規で広く適用可能な攻撃クラスを定義しており、単なるAutoGenバグではありません。ローカルMCPサーバーまたは開発者ツール(VS Code拡張機能、ローカルLLMエンドポイントなど)とペアリングされたAI閲覧エージェントはこのリスクを共有しています。ほとんどの開発者側AIツールの基盤にあるlocalhost信頼の前提が明示的に破られました。
適用範囲
ローカルMCPサーバーまたは特権のあるlocalhostサービスと並行してAI閲覧エージェント(AutoGen、LangGraph、CrewAI、カスタム)を実行しているすべてのチームは、ネットワーク分離を直ちに監査する必要があります。フレームワーク開発者は、すべてのlocalhostのWebSocketエンドポイントに認証およびオリジン検証を追加する必要があります。