무슨 일이 있었나
Microsoft의 Defender Security Research Team은 2026년 6월 18일 AutoGen Studio의 개발 브랜치에서 AutoJack라고 불리는 익스플로잇 체인을 공개했습니다. 로컬 AI 브라우징 에이전트(예: MultimodalWebSurfer)가 렌더링하는 악의적 웹페이지가 ws://localhost:8081/api/mcp/ws/로 WebSocket을 열고, 원본 검증 및 인증을 우회하며, AutoGen Studio의 MCP 핸들러가 호스트 프로세스의 권한으로 실행하는 OS 명령 페이로드를 전송합니다. 세 가지 연쇄된 취약점은: (1) MCP WebSocket 엔드포인트의 원본 검증 부재, (2) WebSocket 핸들러에 대한 인증 부재, (3) MCP 도구 디스패처의 명령 실행 미정제입니다. 취약한 표면은 PyPI에 업로드된 사전 릴리스 빌드 0.4.3.dev1 및 0.4.3.dev2에 있었으며, 안정 릴리스(0.4.2.2)는 영향을 받지 않았습니다. Microsoft는 안정 릴리스가 출시되기 전에 코드를 강화했지만, 두 개의 개발 빌드는 PyPI에 남아 있습니다.
왜 중요한가
이는 새로운 에이전트 공격 클래스입니다: 공격자는 AI 브라우징 에이전트가 URL을 방문하도록 유도하기만 하면 되고(심어진 링크, 프롬프트 인젝션, 또는 UI에서의 직접 URL 제출을 통해), 페이지의 JavaScript는 특권 로컬 MCP 제어 평면에 도달하고 개발자 또는 서버의 호스트에서 임의의 프로세스를 생성할 수 있습니다. 이는 AI 에이전트가 신뢰할 수 없는 웹 콘텐츠를 탐색할 수 있고 같은 호스트가 특권 로컬 서비스를 노출할 때 localhost가 신뢰 경계가 아님을 보여줍니다. 영향 범위는 브라우징 에이전트와 함께 영향을 받은 개발 빌드를 실행하는 모든 개발자 또는 CI 환경을 포함합니다.
공격 경로
공격자가 로컬 AI 브라우징 에이전트를 악의적 웹페이지 방문으로 유도합니다. 페이지의 JavaScript는 localhost:8081/api/mcp/ws/로 인증되지 않은 WebSocket을 열고, 조작된 MCP 명령을 전송하며, 서버가 이를 호스트의 OS 프로세스로 실행합니다.
영향받는 시스템
AutoGen Studio 0.4.3.dev1 및 0.4.3.dev2 (사전 릴리스 PyPI 빌드); 안정 0.4.2.2는 영향을 받지 않습니다.
완화 방안
0.4.3.dev1 및 0.4.3.dev2를 제거/회피하고 안정 릴리스 0.4.2.2로 고정합니다(MCP WebSocket 라우트 없음). MCP WebSocket 표면을 원본 검증 및 인증으로 강화합니다. Microsoft Security Blog 참조: https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent