AutoJack: одна веб-страница могла превратить AI-агента в канал запуска кода на хосте

Исследователи Microsoft описали цепочку эксплуатации AutoJack, которая показывает, насколько опасным становится смешение браузерных AI-агентов, локальных сервисов и слабой аутентификации. Сценарий выглядит просто: агенту достаточно открыть страницу злоумышленника, после чего JavaScript на этой странице может обратиться к привилегированному локальному сервису и запустить процесс на машине.

По данным The Hacker News, проблема затрагивала не обычную стабильную установку AutoGen Studio, а две предварительные PyPI-сборки 0.4.3.dev1 и 0.4.3.dev2. В стабильной версии 0.4.2.2 уязвимого MCP-маршрута не было, поэтому обычный `pip install autogenstudio` не подвергал пользователей риску. Но те, кто ставил prerelease-версии через `--pre` или точное закрепление версии, могли получить открытый MCP WebSocket-обработчик.

Цепочка строилась на трёх ошибках. Во-первых, WebSocket доверял localhost: идея была в том, что внешний сайт не сможет обращаться к локальному интерфейсу. Но браузерный агент, работающий на той же машине, сам является локальным участником, и загруженная им страница наследует этот контекст. Во-вторых, middleware аутентификации исключал MCP-пути, предполагая, что проверка токена будет внутри обработчика. Проверки не оказалось. В-третьих, endpoint принимал команду из параметра запроса и запускал её без allowlist.

Итог — удалённое выполнение кода без ввода учётных данных и без дополнительного взаимодействия после открытия страницы. Для атаки достаточно добиться, чтобы агент перешёл по ссылке: через подсказку, URL-поле, внедрённый контент или другой механизм, который заставляет AI-браузер посещать внешний ресурс.

Главный урок AutoJack выходит за рамки конкретного пакета. AI-агенты всё чаще получают браузер, доступ к локальным инструментам и способность выполнять задачи от имени пользователя. Если их окружение полагается на старое допущение «localhost значит доверенный», модель угроз ломается: агент становится мостом между внешним вебом и локальной системой.

Для команд, экспериментирующих с агентными фреймворками, практические выводы прямые: не ставить prerelease-сборки на рабочие машины без изоляции, требовать аутентификацию на локальных сервисах, не исключать служебные пути из middleware без повторной проверки и запускать инструменты в контейнерах или sandbox-окружениях. Исправления в main-ветке есть, но опубликованные prerelease-сборки остаются важным напоминанием: прототипы AI-инфраструктуры тоже должны проходить security review.

Источник: The Hacker News, 19 июня 2026