AutoJack — Localhost MCP WebSocket을 통한 새로운 AI 에이전트 RCE 악용 체인 (AutoGen Studio)

Microsoft는 2026년 6월 18일 AutoGen Studio의 개발 분기에서 발견된 AutoJack라는 악용 체인을 공개했습니다. 브라우징 에이전트가 렌더링한 악의적인 웹페이지가 로컬 MCP 서버로 WebSocket을 열고, 출처 검증 및 인증을 우회하며, 임의의 OS 명령을 실행합니다 — URL 제출 외에 사용자 상호작용 없이 호스트에서 RCE를 달성합니다. commit b047730 / 버전 0.7.2에서 수정되었습니다.

AutoJack는 새로운 공격 클래스를 시연합니다: AI 에이전트가 공개 웹을 탐색하고 권한이 있는 로컬 서비스와 통신할 때 localhost는 더 이상 신뢰 경계가 아닙니다. 이 패턴은 로컬 MCP WebSocket을 가진 모든 AI 에이전트 프레임워크에 영향을 미치므로, 전체 에이전트형 AI 생태계에 대한 템플릿 위협입니다.

AutoGen Studio를 실행하는 모든 팀은 즉시 ≥0.7.2로 업그레이드해야 합니다. AI 에이전트 프레임워크를 설계하는 보안 아키텍트는 모든 로컬 MCP 엔드포인트에 인증 및 출처 검증을 적용해야 합니다.