Microsoft 披露 AutoJack：恶意网页可 RCE 运行 AI Agent 的主机

Microsoft Defender Security Research 于 6 月 18–19 日 披露 AutoJack——针对 AI 浏览 Agent 的新型 RCE 攻击链。

攻击原理

1. AutoGen Studio 中启用 Web 浏览 的 Agent 访问 恶意网页
2. 页面 JS 连接本机 MCP WebSocket（localhost）
3. 利用三处弱点：Origin 绕过、无认证、server_params 任意命令
4. 在 开发者账户权限 下 spawn 任意进程

暴露范围

• 仅影响 从 GitHub main 分支 自行构建 的 AutoGen Studio（MCP 功能窗口期）
• PyPI 正式版 0.4.2.2 不受影响——MCP WebSocket 从未发布
• 已在上游 commit b047730 修复

broader 警示

「当 Agent 能浏览开放 Web 并与本地特权服务通信时，localhost 不再是信任边界。」

适用于 OpenHands、Browser Use、CowAgent 等 浏览器+本地 Tool 组合。

行业反应

Agent 安全与 Mastra 供应链攻击（6/16）形成 2026 安全双预警——企业部署 Web Agent 前需 隔离、认证、最小权限。