2026-06-22 00:00
← VoltarUma cadeia de vulnerabilidade chamada AutoJack na interface AutoGen Studio da Microsoft para prototipagem de agentes de IA pode permitir que invasores manipulem um agente para executar comandos arbitrários em seu sistema host simplesmente visitando uma página da web maliciosa. AutoGen Studio é o componente gráfico do AutoGen, a estrutura de código aberto da Microsoft para a construção de sistemas de IA multiagentes. A estrutura permite que os desenvolvedores criem agentes de IA que podem colaborar entre si, usar ferramentas, navegar na web, executar código, interagir com APIs e conectar-se a sistemas externos. O projeto é muito popular, com mais de 59.000 estrelas e quase 9.000 forks no GitHub. A Microsoft observa que o impacto do AutoJack foi limitado porque o problema foi resolvido durante o desenvolvimento. “Esse problema foi identificado e corrigido antes de qualquer lançamento do PyPI, portanto o código afetado nunca foi enviado em um pacote publicado”, afirma a Microsoft. “A exposição foi limitada aos desenvolvedores que construíram o AutoGen Studio a partir da ramificação principal do GitHub durante o período entre o lançamento do plug-in MCP e o commit de proteção.' Detalhes do AutoJack A Microsoft descreve o ataque AutoJack como sendo baseado em três fraquezas distintas no AutoGen Studio: O MCP WebSocket confia em conexões originadas de localhost, permitindo que um agente de navegação em execução na mesma máquina seja induzido a carregar JavaScript controlado pelo...
Uma cadeia de vulnerabilidade chamada AutoJack na interface AutoGen Studio da Microsoft para prototipagem de agentes de IA pode permitir que invasores manipulem um agente para executar comandos arbitrários em seu sistema host simplesmente visitando uma página da web maliciosa. AutoGen Studio é o componente gráfico do AutoGen, a estrutura de código aberto da Microsoft para a construção de sistemas de IA multiagentes. A estrutura permite que os desenvolvedores criem agentes de IA que podem colaborar entre si, usar ferramentas, navegar na web, executar código, interagir com APIs e conectar-se a sistemas externos. O projeto é muito popular, com mais de 59.000 estrelas e quase 9.000 forks no GitHub. A Microsoft observa que o impacto do AutoJack foi limitado porque o problema foi resolvido durante o desenvolvimento. “Esse problema foi identificado e corrigido antes de qualquer lançamento do PyPI, portanto o código afetado nunca foi enviado em um pacote publicado”, afirma a Microsoft. “A exposição foi limitada aos desenvolvedores que construíram o AutoGen Studio a partir da ramificação principal do GitHub durante o período entre o lançamento do plug-in MCP e o commit de proteção.' Detalhes do AutoJack A Microsoft descreve o ataque AutoJack como sendo baseado em três fraquezas distintas no AutoGen Studio: O MCP WebSocket confia em conexões originadas de localhost, permitindo que um agente de navegação em execução na mesma máquina seja induzido a carregar JavaScript controlado pelo invasor que parecia vir de uma fonte local confiável O middleware de autenticação do AutoGen Studio exclui rotas /api/mcp/* das verificações de autenticação, enquanto o endpoint MCP WebSocket falha ao implementar sua própria autenticação, deixando-o acessível sem credenciais O MCP O WebSocket aceita um valor server_params codificado em base64 da URL e o passa para o código de inicialização do processo, permitindo que os invasores especifiquem e executem PowerShell arbitrários, comandos Bash ou executáveis. Desvio de origem por meio do agente de IA Fonte: Microsoft Em um cenário de ataque realista apresentado pela Microsoft, um JavaScript malicioso é executado em uma página visitada por um agente de IA do desenvolvedor, que abre uma conexão WebSocket com o endpoint MCP local do AutoGen Studio.
A carga instrui o AutoGen Studio a iniciar um comando escolhido pelo invasor com os privilégios da conta do desenvolvedor. Para demonstrar o efeito, a Microsoft demonstrou o lançamento do Windows Calculator. Demonstração do AutoJack lançando Calc.exe Fonte: Microsoft Deve-se observar que os usuários que instalam o AutoGen Studio a partir do Python Package Index (PyPI) nunca foram expostos ao código afetado. O pacote atual mais recente, autogenstudio 0.4.2.2, não contém os pontos fracos do AutoJack. No entanto, os desenvolvedores que construíram o AutoGen diretamente do GitHub durante uma janela limitada antes do commit b047730 foram impactados por um curto período. A Microsoft recomenda aos usuários que instalam o AutoGen Studio que o implantem “estritamente como um protótipo de desenvolvedor em um ambiente isolado” que não esteja exposto à Internet. Além disso, o mantenedor enfatiza que o projeto não deve ser executado com um agente capaz de navegar ou executar código arbitrário em uma máquina com conteúdo não confiável. “Execute o AutoGen Studio em uma conta de baixo privilégio em um perfil de usuário ou contêiner em área restrita para que qualquer RCE futuro controlado por agente esteja contido em um perfil de desenvolvedor, não em sua conta de driver diário”, aconselha a Microsoft.