何が起きたか
Microsoft は AutoJack(2026 年 6 月 18 日)を開示しました — AI ブラウジングエージェントでレンダリングされた信頼されないウェブコンテンツがローカル MCP WebSocket に到達し、ホスト上で任意のプロセスを実行できるエクスプロイトチェーン。3 つの弱点をチェーン:localhost オリジンバイパス(エージェントはローカルアイデンティティを継承)、MCP パス上の認証欠落、URL 経由の安全でないパラメータインジェクション。脆弱なコードは PyPI リリースで出荷されたことはありません。公開前にアップストリームがハードニングされました。
なぜ重要か
システミックリスクパターンを実証:localhost 信頼境界はエージェントがウェブを閲覧し、同時にローカルサービスにアクセスできる場合、攻撃面になります。ブラウジングエージェントを RCE の配信メカニズムに変換。パターンは AutoGen を超えて、エージェントウェブブラウジング + ローカルツールアクセスを許可する任意のフレームワークに拡張します。
適用範囲
AutoGen Studio または同様のフレームワークをウェブブラウジングおよびローカルサービス機能で使用する開発者。エージェントブラウジングに公開される localhost バウンドコントロールプレーンについて即座の監査が必要です。