事件经过
Microsoft 于 2026 年 6 月 18 日披露了在 AutoGen Studio 开发分支中发现的名为 AutoJack 的漏洞利用链。恶意网页由浏览代理呈现,向本地 MCP 服务器打开 WebSocket,绕过来源验证和身份验证,并执行任意操作系统命令 — 在无需任何用户交互(仅提交 URL)的情况下实现对主机的 RCE。已在提交 b047730 / 版本 0.7.2 中修复。
影响分析
AutoJack 展示了一个新的攻击类别:当 AI 代理浏览开放网络并与特权本地服务通信时,本地主机不再是信任边界。这种模式影响任何具有本地 MCP WebSocket 的 AI 代理框架,使其成为整个代理 AI 生态系统的模板威胁。
适用范围
任何运行 AutoGen Studio 的团队必须立即升级到 ≥0.7.2;设计 AI 代理框架的安全架构师必须在所有本地 MCP 端点上强制执行身份验证和来源验证。