事件经过
Microsoft在2026年6月18日披露了在AutoGen Studio开发分支中发现的漏洞利用链(AutoJack):由浏览AI代理渲染的恶意网页可以打开到ws://localhost:8081/api/mcp/ws/的WebSocket,跨越本地主机信任边界,并在主机上产生任意进程——无需任何用户交互即可实现RCE,除了代理访问该页面。易受攻击的表面在到达PyPI发布之前已被加强。Microsoft的披露系统地记录了攻击类别:任何(a)浏览不可信Web内容和(b)暴露特权本地主机服务的代理框架在结构上都容易受到攻击。
影响分析
AutoJack定义了一个新颖的、广泛适用的攻击类别——不仅仅是AutoGen错误。任何与本地MCP服务器或开发者工具(VS Code扩展、本地LLM端点等)配对的AI浏览代理都存在此风险。支撑大多数开发者端AI工具的本地主机信任假设现已明确破裂。
适用范围
所有运行AI浏览代理(AutoGen、LangGraph、CrewAI、自定义)与本地MCP服务器或特权本地主机服务一起的团队应立即审计其网络隔离。框架开发者必须为所有本地主机WebSocket端点添加身份验证和来源验证。