A Microsoft divulgou uma nova cadeia de exploração denominada AutoJack, que demonstra como uma única página web maliciosa, carregada por um agente de IA com capacidade de navegação, pode alcançar execução remota de código no computador anfitrião que executa o AutoGen Studio. Isto é, a interface open-source da empresa para criar aplicações multi-agente com inteligência artificial.
A cadeia AutoJack explora três vulnerabilidades na implementação WebSocket do Model Context Protocol (MCP) do AutoGen Studio. Em primeiro lugar, a lista de permissões de origem localhost do socket – concebida para bloquear ligações externas – confia inadvertidamente num agente de navegação a correr na mesma máquina, concedendo ao JavaScript controlado pelo atacante o mesmo acesso privilegiado que o tráfego local legítimo.
Microsoft alerta para o uso de agentes de IA
Em segundo lugar, o middleware de autenticação ignorava completamente os caminhos MCP, aceitando ligações não autenticadas independentemente da configuração. Por fim, o endpoint aceitava um parâmetro de comando diretamente a partir do URL e executava-o sem qualquer lista de permissões que restringisse os processos que poderiam ser iniciados.
Encadeadas, estas falhas significam que um atacante apenas necessita de levar um agente de IA com navegação web a carregar uma página especialmente criada – através de uma ligação inserida, campo de URL ou injeção de prompt – para lançar processos arbitrários sob a conta que executa o AutoGen Studio, sem qualquer interação adicional por parte do utilizador.
Exposição limitada, correção já disponível
A Microsoft reportou a vulnerabilidade internamente ao Microsoft Security Response Center e confirmou que o código MCP afetado existia apenas em versões de desenvolvimento do AutoGen Studio, nunca tendo sido publicado no PyPI. Deste modo, as instalações em produção não foram afetadas.
A correção, disponibilizada no commit b047730 (PR #7362 no ramo principal), elimina os parâmetros de comando baseados em URL, substituindo-os por armazenamento no lado do servidor com IDs de sessão de utilização única, e encaminha os endpoints MCP através da autenticação padrão.
Para além desta correção técnica, a Microsoft sublinhou que o AutoJack não deve ser interpretado como um bug isolado, mas antes como um aviso para toda uma classe de frameworks de IA agêntica que combinam capacidades de navegação web com acesso a ferramentas e serviços locais.
A empresa não encontrou evidências de exploração ativa e classificou a divulgação como investigação de segurança. A recomendação é clara: os programadores não devem executar agentes de navegação ou de execução de código na mesma máquina que serviços locais privilegiados que processam conteúdo não confiável.
Fica ainda mais conectado:
- LG Electronics lança novas bombas de calor no mercado Europeu
- Sword Health chega ao SNS com fisioterapia comparticipada
- Adobe Firefly chega ao Photoshop e Premiere: o que muda
