Uma cadeia de vulnerabilidades batizada de AutoJack, identificada na interface AutoGen Studio da Microsoft para prototipagem de agentes de IA, poderia permitir que invasores manipulassem um agente para executar comandos arbitrários no sistema hospedeiro apenas ao visitar uma página maliciosa.
O AutoGen Studio é o componente gráfico do AutoGen, framework open source da Microsoft para criar sistemas de IA com múltiplos agentes.
A plataforma permite que desenvolvedores criem agentes capazes de colaborar entre si, usar ferramentas, navegar na web, executar código, interagir com APIs e se conectar a sistemas externos.
O projeto é bastante popular, com mais de 59.000 estrelas e quase 9.000 forks no GitHub.
Segundo a Microsoft, o impacto do AutoJack foi limitado porque o problema foi corrigido ainda durante o desenvolvimento.
"Esse problema foi identificado e corrigido antes de qualquer lançamento no PyPI, então o código afetado nunca foi distribuído em um pacote publicado", afirmou a Microsoft.
"A exposição ficou restrita aos desenvolvedores que compilaram o AutoGen Studio a partir da branch principal do GitHub durante a janela entre a inclusão do plugin MCP e o commit de reforço de segurança."
A Microsoft descreve o ataque AutoJack como baseado em três fraquezas separadas no AutoGen Studio.
A primeira é que o WebSocket do MCP confia em conexões originadas de localhost, o que permite que um agente de navegação executando na mesma máquina seja enganado para carregar JavaScript controlado pelo invasor, aparentemente vindo de uma origem local confiável.
A segunda é que o middleware de autenticação do AutoGen Studio exclui as rotas /api/mcp/* das verificações de autenticação, enquanto o endpoint WebSocket do MCP não implementa sua própria autenticação, deixando-o acessível sem credenciais.
A terceira é que o WebSocket do MCP aceita um valor server_params codificado em base64 pela URL e o repassa para o código que inicia processos, permitindo que invasores especifiquem e executem comandos arbitrários em PowerShell, Bash ou até executáveis.
Em um cenário de ataque realista apresentado pela Microsoft, um JavaScript malicioso é executado em uma página visitada pelo agente de IA de um desenvolvedor, que então abre uma conexão WebSocket com o endpoint MCP local do AutoGen Studio.
O payload instrui o AutoGen Studio a iniciar um comando escolhido pelo invasor com os privilégios da conta do desenvolvedor.
Para demonstrar o efeito, a Microsoft mostrou a abertura da Calculadora do Windows.
É importante observar que usuários que instalaram o AutoGen Studio pelo Python Package Index (PyPI) nunca estiveram expostos ao código afetado.
O pacote atual mais recente, autogenstudio 0.4.2.2, não contém as fraquezas do AutoJack.
No entanto, desenvolvedores que compilaram o AutoGen diretamente do GitHub por uma janela limitada antes do commit b047730 foram impactados por um curto período.
A Microsoft recomenda que quem instalar o AutoGen Studio o implante "estritamente como um protótipo de desenvolvedor em um ambiente isolado", sem exposição à internet.
Além disso, o mantenedor ressalta que o projeto não deve ser executado com um agente capaz de navegar ou de executar código arbitrário em uma máquina com conteúdo não confiável.
"Execute o AutoGen Studio sob uma conta de baixo privilégio, em um perfil de usuário isolado ou em um container, para que qualquer futura RCE impulsionada por agente fique contida a um perfil de desenvolvimento, e não à sua conta principal de uso diário", aconselha a Microsoft.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...