무슨 일이 있었나
Microsoft는 2026년 6월 18일 AutoGen Studio의 개발 브랜치에서 발견된 악용 체인(AutoJack)을 공개했습니다: 브라우징 AI 에이전트에서 렌더링된 악의적인 웹페이지는 ws://localhost:8081/api/mcp/ws/에 대한 WebSocket을 열 수 있으며, localhost 신뢰 경계를 넘어서 호스트 머신에서 임의의 프로세스를 생성할 수 있습니다. 에이전트가 페이지를 방문하는 것 이상의 사용자 상호작용 없이 RCE를 달성합니다. 취약한 표면은 PyPI 릴리스에 도달하기 전에 강화되었습니다. Microsoft의 공개는 이 공격 클래스를 체계적으로 문서화합니다: (a) 신뢰할 수 없는 웹 콘텐츠를 탐색하고 (b) 특권 localhost 서비스를 노출하는 모든 에이전트 프레임워크는 구조적으로 취약합니다.
왜 중요한가
AutoJack는 새로운, 광범위하게 적용 가능한 공격 클래스를 정의합니다. 단지 AutoGen 버그가 아닙니다. 로컬 MCP 서버 또는 개발자 도구(VS Code 확장, 로컬 LLM 엔드포인트 등)와 쌍을 이루는 모든 AI 브라우징 에이전트는 이 위험을 공유합니다. 대부분의 개발자 측 AI 도구를 지원하는 localhost 신뢰 가정은 이제 명시적으로 깨졌습니다.
적용 범위
로컬 MCP 서버 또는 특권 localhost 서비스와 함께 AI 브라우징 에이전트(AutoGen, LangGraph, CrewAI, 커스텀)를 실행하는 모든 팀은 즉시 네트워크 격리를 감시해야 합니다. 프레임워크 개발자는 모든 localhost WebSocket 엔드포인트에 인증 및 원본 검증을 추가해야 합니다.