AutoJack: uma página web maliciosa pode assumir o controle de um agente IA e executar código no host via AutoGen Studio

<p>Em 18 de junho de 2026, a Microsoft divulgou a cadeia de exploração <strong>AutoJack</strong>, demonstrando como uma única página web maliciosa pode converter um agente de navegação IA em vetor de execução remota de código no computador host.</p> <h2>O que é AutoJack</h2> <p>AutoJack é uma cadeia de exploit que afeta o <strong>AutoGen Studio</strong>, a interface gráfica de prototipagem open-source do framework multi-agente AutoGen da Microsoft Research. A falha situa-se no WebSocket MCP (Model Context Protocol) local do AutoGen Studio.</p> <h2>A cadeia de exploração</h2> <p>O ataque encadeia três falhas distintas:</p> <ol> <li><strong>Bypass da allowlist de origem:</strong> O WebSocket MCP do AutoGen Studio aceita conexões apenas de localhost. Quando um agente de IA navega por um site malicioso externo, o JavaScript renderizado pelo agente herda a identidade localhost, satisfazendo a verificação de origem e permitindo que o código do atacante se conecte ao WebSocket.</li> <li><strong>Ausência de autenticação no MCP:</strong> A lógica de autenticação do AutoGen Studio excluía rotas WebSocket MCP da verificação normal, assumindo que o endpoint implementaria controles próprios — que nunca foram implementados.</li> <li><strong>Execução direta de comandos:</strong> O endpoint MCP executava um comando diretamente de um parâmetro da requisição, sem allowlist de executáveis permitidos — resultando em RCE no host.</li> </ol> <h2>Impacto e status</h2> <p>A superfície vulnerável (WebSocket MCP) nunca foi incluída em um release do PyPI, portanto usuários que instalaram o AutoGen Studio via <code>pip install</code> não estavam expostos. Desenvolvedores rodando a versão de desenvolvimento do repositório poderiam ser afetados. O fix foi aplicado no branch main (commit b047730).</p> <h2>Implicações mais amplas</h2> <p>AutoJack ilustra um vetor de ataque emergente: agentes de IA com capacidade de navegação web podem ser sequestrados por conteúdo malicioso nas páginas que visitam — transformando o próprio agente em ponto de comprometimento. Frameworks de agentes IA devem isolar rigorosamente o conteúdo web não confiável do ambiente de execução local.</p> <p><strong>Fonte:</strong> Microsoft Security Blog (18/06/2026)</p>