何が起きたか
Microsoft は 2026年6月18日に AutoGen Studio の開発ブランチで発見された AutoJack というエクスプロイトチェーンを開示しました。ブラウジングエージェントによって レンダリングされた悪意のあるウェブページはローカル MCP サーバーへの WebSocket を開き、オリジン検証と認証をバイパスし、任意の OS コマンドを実行します — URL を送信する以上のユーザーインタラクションなしでホストに対して RCE を実現します。コミット b047730 / バージョン 0.7.2 で修正されました。
なぜ重要か
AutoJack は新しい攻撃クラスを示しています: AI エージェントがオープンウェブをブラウズしながら特権のあるローカルサービスと通信する場合、localhost はもはや信頼境界ではなくなります。このパターンはローカル MCP WebSocket を持つすべての AI エージェントフレームワークに影響し、エージェント AI エコシステム全体のテンプレート脅威となります。
適用範囲
AutoGen Studio を実行しているチームは直ちに ≥0.7.2 にアップグレードする必要があります。AI エージェントフレームワークを設計しているセキュリティアーキテクトは、すべてのローカル MCP エンドポイントに認証とオリジン検証を実施する必要があります。