Investigadores de Microsoft han revelado un exploit encadenado, denominado AutoJack, que permite la ejecución remota de código (RCE) al secuestrar un agente de navegación de inteligencia artificial. Este ataque convierte a los agentes de IA en vehículos para comandos maliciosos, impactando a los usuarios que instalaron versiones pre-release específicas de AutoGen Studio de Microsoft Research.
El ataque AutoJack explota tres debilidades clave en el WebSocket del Protocolo de Contexto del Modelo (MCP) de AutoGen Studio. Primero, el socket confiaba implícitamente en localhost, permitiendo que cualquier página web cargada por un agente en la misma máquina heredara esa identidad privilegiada. Segundo, el middleware de autenticación omitía las rutas MCP, aceptando conexiones sin autenticación. Finalmente, el endpoint ejecutaba comandos directamente desde un parámetro de solicitud sin ninguna lista de permitidos, dando al atacante control total.
Es crucial entender que este ataque no afecta a las instalaciones estándar de AutoGen Studio (versión 0.4.2.2) realizadas con un pip install simple, ya que estas versiones no incluyen la ruta MCP vulnerable. Sin embargo, quienes instalaron las versiones pre-release 0.4.3.dev1 y 0.4.3.dev2 están expuestos, ya que estas sí contenían el manejador vulnerable que no verificaba la autenticación ni permitía la ejecución arbitraria de comandos.
Para los usuarios de versiones pre-release vulnerables, la solución implica actualizar el código fuente directamente desde el repositorio de GitHub a partir del commit b047730 o posterior, ya que una versión corregida no ha sido lanzada aún en PyPI. Las mitigaciones incluyen no ejecutar AutoGen Studio en la misma máquina que un agente de navegación o ejecución de código que procese contenido no confiable. Si deben coexistir, se recomienda aislarlos en contenedores o máquinas virtuales separadas y ejecutar AutoGen Studio bajo una cuenta de bajo privilegio para limitar el alcance de un posible compromiso.
Qué significa para tu empresa: Este incidente subraya la creciente superficie de ataque que representan las interacciones entre agentes de IA y la infraestructura local. La capacidad de un agente para ejecutar código en el host mediante la carga de una página web maliciosa destaca la importancia crítica de una protección de endpoints EDR/XDR robusta. Soluciones EDR/XDR son fundamentales para detectar y responder rápidamente a actividades anómalas, como la ejecución de procesos no autorizados, incluso si provienen de aplicaciones aparentemente legítimas como agentes de IA, protegiendo así sus sistemas contra amenazas sofisticadas y desconocidas.
Fuente original: The Hacker News — ver artículo →