2026-06-19 00:00
← VoltarOs pesquisadores da Microsoft detalharam uma cadeia de exploração, chamada AutoJack, que transforma um agente de navegação de IA em um veículo de entrega para execução remota de código. Oriente o agente para carregar a página da web de um invasor, e o JavaScript dessa página poderá alcançar um serviço local privilegiado na mesma máquina e gerar um processo no host. Sem credenciais, sem tela de login e sem interação adicional do usuário depois que o agente carrega a página. O invasor só precisa fazer com que o agente o abra, e um link plantado, um campo de URL ou uma injeção imediata bastarão. A falha está no AutoGen Studio, a interface de prototipagem de código aberto para a estrutura multiagente AutoGen da Microsoft Research. Este não é um bug que atinge todos que instalam o pacote, e vale a pena acertar os detalhes do pacote. Um simples pip install autogenstudio extrai a versão estável atual, 0.4.2.2, a compilação inspecionada pela Microsoft, e não possui nenhuma rota Model Context Protocol (MCP). Essa é a base para a declaração da Microsoft de que a superfície vulnerável do MCP WebSocket “nunca foi incluída em uma versão do PyPI”.
Isso vale para a construção estável. Mas o manipulador vulnerável foi enviado para o PyPI, em duas compilações de pré-lançamento, 0.4.3.dev1 e 0.4.3.dev2. O Hacker News baixou e inspecionou ambos. A rota MCP WebSocket está presente, o manipulador leva o comando para ser executado diretamente da solicitação e não autentica o chamador. Nenhuma das...
Os pesquisadores da Microsoft detalharam uma cadeia de exploração, chamada AutoJack, que transforma um agente de navegação de IA em um veículo de entrega para execução remota de código. Oriente o agente para carregar a página da web de um invasor, e o JavaScript dessa página poderá alcançar um serviço local privilegiado na mesma máquina e gerar um processo no host. Sem credenciais, sem tela de login e sem interação adicional do usuário depois que o agente carrega a página. O invasor só precisa fazer com que o agente o abra, e um link plantado, um campo de URL ou uma injeção imediata bastarão. A falha está no AutoGen Studio, a interface de prototipagem de código aberto para a estrutura multiagente AutoGen da Microsoft Research. Este não é um bug que atinge todos que instalam o pacote, e vale a pena acertar os detalhes do pacote. Um simples pip install autogenstudio extrai a versão estável atual, 0.4.2.2, a compilação inspecionada pela Microsoft, e não possui nenhuma rota Model Context Protocol (MCP). Essa é a base para a declaração da Microsoft de que a superfície vulnerável do MCP WebSocket “nunca foi incluída em uma versão do PyPI”.
Isso vale para a construção estável. Mas o manipulador vulnerável foi enviado para o PyPI, em duas compilações de pré-lançamento, 0.4.3.dev1 e 0.4.3.dev2. O Hacker News baixou e inspecionou ambos. A rota MCP WebSocket está presente, o manipulador leva o comando para ser executado diretamente da solicitação e não autentica o chamador. Nenhuma das construções foi arrancada. pip não instala pré-lançamentos, a menos que você passe --pre ou fixe a versão, portanto, uma instalação simples nunca foi exposta. Qualquer pessoa que instalou um desses pré-lançamentos foi. Ainda não há nenhuma compilação PyPI que carregue o fortalecimento do branch principal para eles; o código corrigido está no GitHub principal no commit b047730.
O AutoJack encadeia três pontos fracos no MCP WebSocket. Primeiro, o soquete localhost confiável, uma verificação destinada a bloquear um navegador normal apontado para um site malicioso. Mas um agente de navegação em execução na mesma caixa é localhost, portanto, qualquer coisa que ele carregue herdará a identidade do localhost e passará na verificação. Em segundo lugar, o middleware de autenticação ignorou os caminhos do MCP presumindo que o próprio manipulador verificaria os tokens. Isso nunca aconteceu, então o soquete aceitou conexões não autenticadas, independentemente do modo de autenticação configurado. Terceiro, o endpoint pegou um comando diretamente de um parâmetro de solicitação e o executou, sem nenhuma lista de permissões na qual o executável poderia ser iniciado. Juntas, uma página na Internet aberta, renderizada por um agente local, poderia executar um comando escolhido pelo invasor na conta que executa o AutoGen Studio. A Microsoft descreve isso como uma pesquisa, não uma campanha ativa, e não relatou nenhuma exploração em estado selvagem.
A prova de conceito usou um agente “Web Content Summarizer” que, quando alimentado com uma URL do invasor, exibe calc.exe na área de trabalho do desenvolvedor, iniciado pelo processo AutoGen Studio. A Microsoft relatou o comportamento ao Centro de Resposta de Segurança da Microsoft e os mantenedores fortaleceram o branch principal no commit b047730 (PR #7362). O manipulador fixo não lê mais o comando da URL; os parâmetros são armazenados no servidor por trás de um ID de sessão único e IDs desconhecidos são recusados. As rotas MCP agora passam pelo caminho de autenticação normal. Esse fortalecimento ainda não chegou a uma versão do PyPI. Um simples pip install autogenstudio fornece 0.4.2.2, que não possui rota MCP, portanto você não é afetado. Se você instalou um pré-lançamento, terá o manipulador vulnerável e nenhuma compilação PyPI corrigida para migrar. Extraia do GitHub principal em ou após o commit b047730.
Essa é a verdadeira solução. Até que haja liberação, separe as peças que o ataque precisa. Não execute o AutoGen Studio na mesma máquina que um agente de navegação ou de execução de código que toca conteúdo não confiável, porque a cadeia só funciona quando ambos compartilham o mesmo host local. Se eles precisarem ser executados juntos, isole-os em contêineres ou VMs separados e execute o AutoGen Studio em uma conta de baixo privilégio. Os bugs do AutoGen Studio são corrigidos na fonte. O padrão não é. A Microsoft espera o mesmo formato em outras estruturas de agentes: um serviço local com muita power, uma verificação de host local tratada como segurança e um agente que abre páginas não confiáveis. A THN viu isso no mês passado no ChatGPhish, onde os resumos das páginas do ChatGPT se tornaram um vetor de phishing.
A Microsoft apresentou um argumento localhost semelhante em sua pesquisa Semantic Kernel RCE, rastreada como CVE-2026-26030 e CVE-2026-25592. Outra verificação do host local não é suficiente. Autentique o plano de controle, mantenha a execução do processo atrás de uma lista de permissões e forneça ao agente uma identidade que não seja a da própria sessão do desenvolvedor. Depois que um agente pode navegar na web aberta e acessar serviços locais privilegiados, o localhost não é mais um limite de confiança. Aprenda como descobrir o uso oculto da IA, ver quais dados ela pode acessar, mapear cada ação da IA para um proprietário humano e aplicar governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.