Auf den Punkt: Web-enabled KI-Agenten können durch fehlerhafte lokale Sicherheitsgrenzen (localhost-Trust-Boundary) privilegierte lokale Services kompromittieren und damit Host-Level-RCE ermöglichen.
Microsoft hat eine neue Angriffskette gegen web-fähige KI-Agenten dokumentiert, die sogenannte "AutoJack"-Methode, die durch Browsing-Agenten in AutoGen Studio zu willkürlicher Code-Ausführung auf dem Host-System führt. Die Schwachstelle wurde bereits vor der öffentlichen Veröffentlichung behoben, betroffen waren nur Entwickler-Builds.
Angriffsmechanismus
Microsoft Researchers demonstrierten gegen AutoGen Studio, ein Open-Source-Framework für Multi-Agent-Systeme, wie eine bösartige Webseite, die von einem Browsing-Agenten aufgerufen wird, auf einen lokal verfügbaren Model Context Protocol (MCP)-Service zugreifen und willkürliche Prozesse auf dem Host ausführen kann. Die Technik wurde „AutoJack“ genannt, da sie einen web-zugreifenden Agenten entführt und seine lokalen Berechtigungen missbraucht, um Localhost-Sicherheitsgrenzen zu umgehen.
Die drei geketteten Schwachstellen
Der Angriff nutzte drei separate Mängel in AutoGen Studios MCP-WebSocket-Implementierung. Erstens: Eine Origin-Allowlist sollte Verbindungen auf Localhost beschränken, aber ein lokal ausgeführter Browsing-Agent erbt die Localhost-Identität, wodurch bösartiges JavaScript die Überprüfung umgeht. Zweitens: Die Authentifizierungslogik schloss MCP-WebSocket-Pfade von normalen Authentifizierungsprüfungen aus und überließ deren Überprüfung dem MCP-Endpoint selbst — dieser Endpoint führte die Checks aber nie durch. Drittens und gefährlichsten: Der MCP-Endpoint akzeptierte einen „server_params“-Wert direkt in der URL, dekodierte diesen und gab ihn ungeprüft an den Prozess-Spawning-Mechanismus weiter. Da keine Whitelist einschränkte, welche Befehle ausgeführt werden durften, konnten Angreifer willkürliche Commands wie PowerShell oder Bash starten.
Betroffenheit und Behebung
Der anfällige Code existierte nur in Entwickler-Builds mit MCP-Unterstützung und wurde nie über PyPI verteilt. Nutzer, die AutoGen Studio über PyPI installierten, waren nicht gefährdet. Für Nutzer mit Builds aus dem Quellcode wurde die URL-basierte Parametereinspritzung entfernt, MCP-Pfade in normale Authentifizierungsflüsse geroutet und serverseitige Parameterverarbeitung über Session-IDs implementiert.
Bedeutung für Agent-Frameworks generell
Microsoft betont, dass das AutoJack-Muster über AutoGen hinausgeht und eine breitere Klasse von agentic Frameworks betreffen könnte. Das Kernproblem — ein lokaler Agent, der auf externe Webseiten zugreift und gleichzeitig mit privilegierten lokalen Services kommuniziert — stellt ein wiederkehrendes Risiko dar. Das Unternehmen verfolgt diese Erkenntnisse als Teil seiner aktiven Forschung zu Sicherheitsrisiken, die entstehen, wenn KI-Modelle mit Tools, Browsern, Code-Interpretern und lokalen Services verbunden sind.
Quelle: www.csoonline.com · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.