AutoJack: AI 브라우징 에이전트의 로컬호스트 신뢰 경계를 통한 RCE 익스플로잇 체인(AutoGen Studio)

Microsoft는 AutoJack(2026년 6월 18일)을 공개했습니다. AI 브라우징 에이전트가 렌더링한 신뢰할 수 없는 웹 콘텐츠가 로컬 MCP WebSocket에 도달하여 호스트에서 임의 프로세스를 실행할 수 있도록 허용하는 익스플로잇 체인입니다. 세 가지 약점을 연결합니다: 로컬호스트 출처 우회(에이전트는 로컬 ID 상속), MCP 경로에 대한 인증 누락, URL을 통한 안전하지 않은 매개변수 주입. 취약한 코드는 PyPI 릴리스에 절대 제공되지 않았으며, 게시 전에 업스트림에서 강화되었습니다.

시스템 위험 패턴을 보여줍니다: 에이전트가 웹을 탐색하고 동시에 로컬 서비스에 접근할 수 있을 때 로컬호스트 신뢰 경계가 공격 표면이 됩니다. 브라우징 에이전트를 RCE 전달 수단으로 변환합니다. 패턴은 AutoGen을 넘어 웹 브라우징 + 로컬 도구 접근을 허용하는 모든 프레임워크로 확장됩니다.

웹 브라우징 및 로컬 서비스 기능이 있는 AutoGen Studio 또는 유사 프레임워크를 사용하는 개발자, 에이전트 브라우징에 노출된 로컬호스트 바운드 제어 평면에 대한 즉각적인 감사 필요합니다.