事件经过
Microsoft Defender 安全研究团队于 2026 年 6 月 18 日披露了 AutoGen Studio 开发分支中的名为 AutoJack 的漏洞链。本地 AI 浏览代理(如 MultimodalWebSurfer)渲染的恶意网页打开到 ws://localhost:8081/api/mcp/ws/ 的 WebSocket,绕过源验证和身份验证,并发送 OS 命令有效负载,AutoGen Studio 的 MCP 处理程序使用主机进程的权限执行这些有效负载。三个链式弱点是:(1) MCP WebSocket 端点缺少源验证,(2) WebSocket 处理程序没有身份验证,(3) MCP 工具调度程序中的命令执行未经清理。脆弱的表面存在于上载到 PyPI 的预发布版本 0.4.3.dev1 和 0.4.3.dev2 中;稳定版本 (0.4.2.2) 未受影响。Microsoft 在任何稳定版本发布之前强化了代码,但这两个开发版本仍然保留在 PyPI 上。
影响分析
这是一种新颖的代理攻击类别:攻击者只需让 AI 浏览代理访问 URL(通过植入的链接、提示注入或 UI 中的直接 URL 提交),页面的 JavaScript 就可以访问特权本地 MCP 控制平面并在开发人员或服务器的主机上生成任意进程。这证明了当 AI 代理可以浏览不受信任的 Web 内容且同一主机公开特权本地服务时,localhost 不是信任边界。影响范围覆盖任何运行受影响开发版本和浏览代理的开发人员或 CI 环境。
攻击途径
攻击者诱导本地 AI 浏览代理访问恶意网页;页面的 JavaScript 打开到 localhost:8081/api/mcp/ws/ 的未经身份验证的 WebSocket,发送精心制作的 MCP 命令,服务器在主机上将其作为 OS 进程执行
受影响系统
AutoGen Studio 0.4.3.dev1 和 0.4.3.dev2(预发布 PyPI 版本);稳定版 0.4.2.2 不受影响
缓解措施
卸载/避免 0.4.3.dev1 和 0.4.3.dev2;固定到稳定版本 0.4.2.2(无 MCP WebSocket 路由)。使用源验证和身份验证强化任何 MCP WebSocket 表面。参见 Microsoft Security Blog:https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent