Apa yang terjadi
Microsoft mengungkap AutoJack (18 Juni 2026) — rantai eksploit yang memungkinkan konten web yang tidak dipercaya yang dirender oleh agent browsing AI untuk menjangkau WebSocket MCP lokal dan menjalankan proses arbitrer di host. Menggabungkan tiga kelemahan: bypass origin localhost (agent mewarisi identitas lokal), autentikasi yang hilang pada jalur MCP, dan injeksi parameter yang tidak aman melalui URL. Kode yang rentan tidak pernah dikirimkan dalam rilis PyPI; upstream diperkuat sebelum publikasi.
Mengapa penting
Mendemonstrasikan pola risiko sistemik: batas kepercayaan localhost menjadi permukaan serangan ketika agent dapat menjelajahi web dan mengakses layanan lokal secara bersamaan. Mengonversi agent browsing menjadi kendaraan pengiriman untuk RCE; pola meluas di luar AutoGen ke kerangka kerja apa pun yang memungkinkan browsing web agent + akses alat lokal.
Cakupan penerapan
Pengembang menggunakan AutoGen Studio atau kerangka kerja serupa dengan kemampuan browsing web dan layanan lokal; audit segera diperlukan untuk control plane yang terikat localhost yang terekspos ke browsing agent.