Microsoft описала цепочку уязвимостей AutoJack в AutoGen Studio, позволяющую выполнить RCE через вредоносный сайт

Команда Microsoft Defender Security Research Team раскрыла цепочку уязвимостей в AutoGen Studio, инструменте Microsoft Research для разработки AI-агентов. Исследователи назвали эту технику «AutoJack». При определённых условиях один вредоносный сайт способен добиться remote code execution (RCE) на устройстве, где запущен AI-агент. Цепочка включает три отдельные уязвимости: по отдельности они выглядят незначительными, но вместе позволяют выполнить произвольный код.
Первая проблема связана с локальным управляющим каналом AutoGen Studio, который принимает соединения только с «localhost». Однако веб-браузер AI-агента тоже распознаётся системой как «localhost», поэтому соединение проходило. Вторая уязвимость касалась проверок входа: приложение поддерживало авторизацию по имени пользователя и паролю, но соответствующий участок кода для этого канала оставался открытым. Третья проблема позволяла каналу выполнять почти любую переданную команду. В результате исследователи смогли запустить произвольную программу.
Сценарий атаки может выглядеть так. Пользователь просит AI-агента сделать краткое содержание определённого сайта. Агент открывает страницу, и в этот момент может загрузиться и выполниться вредоносный код, например backdoor-malware или infostealers.
По данным Microsoft, уязвимость существовала только в ранней версии AutoGen Studio, размещённой на GitHub во время разработки. До официального релиза её уже устранили. В компании также отмечают, что если агент способен просматривать недоверенные страницы и одновременно взаимодействует с привилегированными локальными сервисами, loopback может превратиться в поверхность атаки. Поэтому локальные control plane должны иметь аутентификацию, авторизацию и изоляцию.
Ключевые факты
Команда Microsoft Defender Security Research Team раскрыла цепочку уязвимостей «AutoJack» в AutoGen Studio, позволяющую вредоносному сайту добиться удалённого выполнения кода на устройстве с запущенным ИИ‑агентом.
Цепочка включала три проблемы: злоупотребление локальным каналом «localhost», пропуск проверок входа и возможность выполнения произвольных программ, что позволяло запускать код, переданный атакующим.
Атака могла происходить, когда пользователь просил агента суммировать сайт: агент открывал страницу и мог загрузить и выполнить вредоносный код, например бэкдор или инфостилер.
Проблема существовала только в ранней версии AutoGen Studio на GitHub; команда AutoGen устранила её до официального выпуска, и распространяемая версия приложения не была уязвима.