何が起きたか
Microsoft の Defender Security Research Team は 2026年6月18日、AutoGen Studio の開発ブランチにおける AutoJack という名称のエクスプロイトチェーンを開示しました。ローカル AI ブラウジングエージェント(例:MultimodalWebSurfer)によってレンダリングされた悪質なウェブページが ws://localhost:8081/api/mcp/ws/ に WebSocket を開き、オリジン検証と認証をバイパスし、AutoGen Studio の MCP ハンドラーがホストプロセスの権限で実行する OS コマンドペイロードを送信します。3つのチェーンされた弱点は、(1) MCP WebSocket エンドポイント上のオリジン検証の欠落、(2) WebSocket ハンドラー上の認証がないこと、(3) MCP ツールディスパッチャー内のサニタイズされていないコマンド実行です。脆弱なサーフェスは PyPI にアップロードされたプレリリースビルド 0.4.3.dev1 および 0.4.3.dev2 に存在していました。安定版リリース(0.4.2.2)は影響を受けていません。Microsoft は安定版リリースがリリースされる前にコードを強化しましたが、2つの dev ビルドは PyPI に残っています。
なぜ重要か
これはエージェント攻撃の新しいクラスです。攻撃者は AI ブラウジングエージェントに URL を訪問させるだけで済みます(植えられたリンク、プロンプトインジェクション、またはUI での直接 URL 送信経由)。そしてページの JavaScript は特権のあるローカル MCP コントロールプレーンに到達し、開発者またはサーバーのホスト上で任意のプロセスをスポーンできます。これは、AI エージェントが信頼できないウェブコンテンツを閲覧でき、同じホストが特権のあるローカルサービスを公開する場合、localhost は信頼の境界ではないことを示しています。被害範囲は、ブラウジングエージェント付きの影響を受けるデバイスビルドを実行しているすべての開発者またはCI環境をカバーしています。
攻撃経路
攻撃者はローカル AI ブラウジングエージェントに悪質なウェブページへのアクセスを誘導します。ページの JavaScript は localhost:8081/api/mcp/ws/ への認証なし WebSocket を開き、細工された MCP コマンドを送信し、サーバーはそれをホスト上の OS プロセスとして実行します。
影響を受けるシステム
AutoGen Studio 0.4.3.dev1 および 0.4.3.dev2(プレリリース PyPI ビルド)。安定版 0.4.2.2 は影響を受けていません。
緩和策
0.4.3.dev1 および 0.4.3.dev2 をアンインストール/回避し、安定版リリース 0.4.2.2 にピン留めしてください(MCP WebSocket ルートなし)。MCP WebSocket サーフェスをオリジン検証と認証で強化してください。Microsoft Security Blog を参照してください:https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent