AutoJack: RCE-Schwachstelle in Microsoft AutoGen Studio gefährdet lokale KI-Agenten
AutoJack: RCE-Schwachstelle in Microsoft AutoGen Studio gefährdet lokale KI-Agenten
Zusammenfassung
Eine neu entdeckte Exploit-Kette namens „AutoJack“ zeigt auf, wie ein lokaler KI-Browsing-Agent beim Aufrufen einer präparierten Webseite unwissentlich eine Remotecodeausführung (Remote Code Execution, RCE) auf dem Host-System des Entwicklers auslösen kann. Die Schwachstelle betrifft Entwicklungsversionen von Microsofts AutoGen Studio. Durch das Ausnutzen der fehlenden Authentifizierung an der WebSocket-Schnittstelle des Model Context Protocols (MCP) können Angreifer Befehle direkt auf dem Host ausführen. Microsoft hat das Problem mittlerweile behoben.
Was ist passiert?
Das Bedrohungsanalyseteam von Microsoft hat Einzelheiten zu AutoJack veröffentlicht. Lokale, webfähige KI-Agenten, die auf Vorabversionen von AutoGen Studio (Entwickler-Builds 0.4.3.dev1 und 0.4.3.dev2) laufen, sind für diesen Angriff anfällig. Die Exploit-Kette kombiniert das inhärente Vertrauen in Anfragen von „localhost“, eine fehlende Authentifizierung für die MCP-WebSocket-Routen und eine unzureichende Validierung von Parametern bei der Befehlsausführung. Dadurch kann ein Angreifer über eine manipulierte Webseite Befehle an den lokalen MCP-Server senden, die dann auf Betriebssystemebene ausgeführt werden.
Warum es wichtig ist
Lokale KI-Agenten werden zunehmend in Entwicklungs- und Produktionsumgebungen integriert und erhalten weitreichende Zugriffsrechte auf das lokale Dateisystem sowie Systemschnittstellen. Wenn diese Agenten im Internet surfen, wird ihr Browserfenster zum potenziellen Einfallstor. Da viele Entwicklerwerkzeuge standardmäßig davon ausgehen, dass Zugriffe über localhost sicher sind, entsteht hier eine eklatante Sicherheitslücke. AutoJack beweist, dass das Paradigma des „Localhost-Vertrauens“ bei webfähigen KI-Systemen grundlegend überdacht werden muss.
Beweise
Die Sicherheitsforscher von Microsoft konnten zeigen, dass der Besuch einer einzigen bösartigen Webseite ausreicht, um die RCE-Kette zu aktivieren. Die Schwachstelle wurde im Hauptzweig von AutoGen mit dem Commit b047730 über den Pull Request #7362 geschlossen. Berichte von IT-Sicherheitsportalen wie The Hacker News und dem Microsoft Security Blog bestätigen die Details der Bedrohung.
Analyse
Die Ursache für AutoJack liegt im Design des Model Context Protocols (MCP) innerhalb der betroffenen AutoGen Studio-Builds. MCP-Server stellen Werkzeuge und Ressourcen über standardisierte APIs bereit. In den verwundbaren Builds lauschte der WebSocket-Server ungeschützt auf localhost. Wenn der KI-Agent eine Webseite analysiert, die bösartigen JavaScript-Code enthält, kann diese Seite über den Browser des Agenten eine WebSocket-Verbindung zum lokalen MCP-Server aufbauen. Da keine Token-Authentifizierung erzwungen wurde, akzeptierte der Server Befehle zur Tool-Ausführung, was letztlich zur Ausführung beliebigen Codes auf dem Rechner des Benutzers führte.
Praktische Erkenntnisse
Entwickler und Administratoren sollten folgende Maßnahmen ergreifen:
- Updates einspielen: Aktualisieren Sie AutoGen Studio umgehend auf eine Version, die den Patch aus PR #7362 enthält.
- Entwickler-Builds meiden: Verwenden Sie in Produktivumgebungen keine instabilen Builds wie
0.4.3.dev1oder0.4.3.dev2. - Isolierung erzwingen: Führen Sie Browsing-Agenten in isolierten Containern oder virtuellen Maschinen mit minimalen Rechten aus.
- Netzwerkzugriffe einschränken: Stellen Sie sicher, dass lokale Server-Ports von Entwicklerwerkzeugen nicht ungesichert für externe Webseiten erreichbar sind.
Offene Fragen
- Sind andere populäre Agenten-Frameworks, die MCP über WebSockets auf localhost implementieren, von ähnlichen Hijacking-Vektoren betroffen?
- Wie können KI-Agenten in Zukunft Webinhalte analysieren, ohne dass eingebettetes JavaScript auf lokale Systemressourcen zugreifen kann?
Quellen
- Microsoft Security Blog: AutoJack: How a single page can RCE the host running your AI agent
- The Hacker News: AutoJack Attack Lets One Web Page RCE Your AI Agent Host
- GitHub: AutoGen Pull Request #7362
- LinkedIn: Microsoft Threat Intelligence Update
- X / Twitter: TechRadar Security Alert
- CSO Online: Web-enabled AI agents can trigger host-level RCE
- All About Security: AutoJack RCE-Lücke in AutoGen Studio