事件经过
Microsoft 披露了 AutoJack(2026 年 6 月 18 日)——一个漏洞利用链,允许由 AI 浏览代理呈现的不受信任的网络内容到达本地 MCP WebSocket 并在主机上执行任意进程。链接三个弱点:localhost 源绕过(代理继承本地身份)、MCP 路径上缺少身份验证以及通过 URL 的不安全参数注入。易受攻击的代码从未在 PyPI 发布版本中发布;上游在发布前已加强。
影响分析
展示了系统性风险模式:当代理可以同时浏览网络和访问本地服务时,本地主机信任边界成为攻击面。将浏览代理转换为 RCE 交付工具;该模式超越 AutoGen 扩展到任何允许代理网络浏览 + 本地工具访问的框架。
适用范围
使用 AutoGen Studio 或具有网络浏览和本地服务功能的类似框架的开发者;需要立即审计暴露于代理浏览的本地主机绑定控制平面。