Корпорация Microsoft предупреждает о новом векторе удаленного выполнения кода (RCE), который возможен через веб-ориентированные ИИ-агенты. Компания продемонстрировала эту технику на примере AutoGen Studio — своего открытого интерфейса для создания и тестирования многоагентных приложений.
Демонстрация показала, что вредоносная веб-страница, отображаемая агентом для просмотра веб-страниц на базе AutoGen, может получить доступ к локальному сервису протокола контекста модели (MCP) и запустить произвольные процессы на хост-машине.
Исследователи Microsoft назвали эту технику «AutoJack», поскольку она фактически захватывает ИИ-агента, имеющего доступ к вебу, и использует его доверенный локальный доступ для обхода границ безопасности localhost. Атака объединяет три отдельные уязвимости в реализации WebSocket MCP в AutoGen Studio, хотя Microsoft отмечает, что проблема выходит за рамки AutoGen и может затронуть более широкий класс агентных фреймворков.
«Когда агент на вашем основном сервере или ноутбуке может просматривать открытый веб и взаимодействовать с привилегированными локальными службами, localhost перестает быть границей доверия», — говорится в блоге компании.
Результаты были внутренне переданы в Центр реагирования на инциденты безопасности Microsoft (MSRC), и уязвимый код AutoGen Studio, как сообщается, был исправлен до того, как он попал в публичный релиз PyPI.
Три уязвимости, объединенные в RCE
Атака AutoJack объединила три отдельные уязвимости в реализации WebSocket MCP в AutoGen Studio.
Первая касалась списка разрешенных источников (origin allowlist), предназначенного для приема соединений только с localhost. В обычных условиях эта защита блокировала бы браузер, посещающий вредоносный внешний веб-сайт. Однако Microsoft обнаружила, что локально запущенный агент для просмотра веб-страниц наследует идентификатор localhost, что позволяет управляемому злоумышленником JavaScript, отображаемому агентом, пройти проверку источника.
Вторая проблема заключалась в логике аутентификации. Процесс аутентификации AutoGen Studio исключал пути WebSocket MCP из стандартных проверок аутентификации, предполагая, что эти конечные точки будут реализовывать собственные средства контроля. По данным Microsoft, маршрут MCP никогда не применял эти дополнительные проверки, оставляя интерфейс доступным без аутентификации независимо от настроенного режима аутентификации.
Третья уязвимость была самой опасной. Конечная точка MCP принимала значение «server_params», передаваемое через URL, декодировала его и напрямую передавала полученную команду и аргументы механизму запуска процессов, используемому для серверов MCP. Поскольку ни один список разрешенных элементов не ограничивал запускаемые исполняемые файлы, злоумышленники могли указывать произвольные команды, такие как PowerShell, Bash или другие бинарные файлы.
Microsoft заявила, что объединение этих уязвимостей позволило веб-странице инициировать произвольное выполнение процессов на машине, на которой размещен AutoGen Studio, без какого-либо дополнительного взаимодействия с пользователем, кроме как заставить агента отобразить страницу.
Угроза никогда не достигала продакшена
Microsoft сообщила, что уязвимый код присутствовал только в сборочных версиях для разработки, включавших поддержку MCP, и никогда не поставлялся через текущий релиз PyPI. Это означает, что пользователи, установившие AutoGen Studio через PyPI, никогда не подвергались риску AutoJack.
Для тех, кто устанавливал AutoGen Studio из исходного кода, разработчики впоследствии удалили внедрение параметров на основе URL, направили пути MCP через стандартные потоки аутентификации и внедрили обработку параметров на стороне сервера с привязкой к идентификаторам сеансов.
Помимо конкретных ошибок, Microsoft утверждает, что AutoJack иллюстрирует закономерность, характерную для агентных фреймворков. «Общие рекомендации по-прежнему применимы, поскольку эта закономерность (агент на машине, обращающийся к службам localhost) шире, чем эта одна ошибка», — говорится в сообщении.
AutoJack стал результатом активных исследований Microsoft того, как традиционные риски программного обеспечения меняются, когда ИИ-модели подключаются к инструментам, браузерам, интерпретаторам кода и локальным службам. Эти выводы появились на фоне того, что Microsoft удваивает усилия в области агентного ИИ в своем портфеле продуктов, расширяя свои инвестиции в управление агентами, их изоляцию и автономные системы безопасности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
