🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores da Microsoft detalharam uma cadeia de exploração, chamada AutoJack, que transforma um agente de navegação de IA em um veículo de entrega para execução remota de código.
Oriente o agente para carregar a página da web de um invasor, e o JavaScript dessa página poderá alcançar um serviço local privilegiado na mesma máquina e gerar um processo no host.
Sem credenciais, sem tela de login e sem interação adicional do usuário depois que o agente carrega a página. O invasor só precisa fazer com que o agente o abra, e um link plantado, um campo de URL ou uma injeção imediata bastarão.
A falha está no AutoGen Studio, a interface de prototipagem de código aberto para a estrutura multiagente AutoGen da Microsoft Research. Este não é um bug que atinge todos que instalam o pacote, e vale a pena acertar os detalhes do pacote.
Um simples pip install autogenstudio extrai a versão estável atual, 0.4.2.2, a versão inspecionada pela Microsoft, e não possui nenhuma rota Model Context Protocol (MCP).
Essa é a base para a declaração da Microsoft de que a superfície vulnerável do MCP WebSocket “nunca foi incluída em uma versão do PyPI”. Isso vale para a construção estável. Mas o manipulador vulnerável foi enviado para o PyPI, em duas compilações de pré-lançamento, 0.4.3.dev1 e 0.4.3.dev2.
O Hacker News baixou e inspecionou ambos. A rota MCP WebSocket está presente, o manipulador leva o comando para ser executado diretamente da solicitação e não autentica o chamador. Nenhuma das construções foi arrancada.
pip não instala pré-lançamentos, a menos que você passe --pre ou fixe a versão, portanto, uma instalação simples nunca foi exposta. Qualquer pessoa que instalou um desses pré-lançamentos foi. Ainda não há nenhuma compilação PyPI que carregue o fortalecimento do branch principal para eles; o código corrigido está no GitHub principal no commit b047730.
Como funciona a cadeia
O AutoJack encadeia três pontos fracos no MCP WebSocket.
Primeiro, o soquete localhost confiável, uma verificação destinada a bloquear um navegador normal apontado para um site malicioso. Mas um agente de navegação em execução na mesma caixa é localhost, portanto, qualquer coisa que ele carregue herdará a identidade do localhost e passará na verificação.
Em segundo lugar, o middleware de autenticação ignorou os caminhos do MCP presumindo que o próprio manipulador verificaria os tokens. Isso nunca aconteceu, então o soquete aceitou conexões não autenticadas, independentemente do modo de autenticação configurado.
Terceiro, o endpoint pegou um comando diretamente de um parâmetro de solicitação e o executou, sem nenhuma lista de permissões na qual o executável poderia ser iniciado.
Juntas, uma página na Internet aberta, renderizada por um agente local, poderia executar um comando escolhido pelo invasor na conta que executa o AutoGen Studio.
A Microsoft descreve isso como uma pesquisa, não uma campanha ativa, e não relatou nenhuma exploração em estado selvagem. A prova de conceito usou um agente “Web Content Summarizer” que, quando alimentado com uma URL do invasor, exibe calc.exe na área de trabalho do desenvolvedor, iniciado pelo processo AutoGen Studio.
A Microsoft relatou o comportamento ao Centro de Resposta de Segurança da Microsoft, e os mantenedores reforçaram o branch principal no commit b047730 (PR #7362). O manipulador fixo não lê mais o comando da URL; os parâmetros são armazenados no servidor por trás de um ID de sessão único e IDs desconhecidos são recusados. As rotas MCP agora passam pelo caminho de autenticação normal. Esse fortalecimento ainda não chegou a uma versão do PyPI.
O que fazer
Um simples pip install autogenstudio fornece 0.4.2.2, que não tem rota MCP, portanto você não será afetado.
Se você instalou um pré-lançamento, terá o manipulador vulnerável e nenhuma compilação PyPI corrigida para migrar. Extraia do GitHub principal em ou após o commit b047730. Essa é a verdadeira solução.
Até que haja liberação, separe as peças que o ataque precisa. Não execute o AutoGen Studio na mesma máquina que um agente de navegação ou de execução de código que toca conteúdo não confiável, porque a cadeia só funciona quando ambos compartilham o mesmo host local. Se eles precisarem ser executados juntos, isole-os em contêineres ou VMs separados e execute o AutoGen Studio em uma conta de baixo privilégio.
Os bugs do AutoGen Studio são corrigidos na fonte. O padrão não é. A Microsoft espera o mesmo formato em outras estruturas de agentes: um serviço local com muito poder, uma verificação de host local tratada como segurança e um agente que abre páginas não confiáveis.
A THN viu isso no mês passado no ChatGPhish, onde os resumos das páginas do ChatGPT se tornaram um vetor de phishing. A Microsoft apresentou um argumento de host local semelhante em sua pesquisa RCE do Kernel Semântico, rastreada como CVE-2026-26030 e CVE-2026-25592.
Outra verificação do host local não é suficiente. Autentique o plano de controle, mantenha a execução do processo atrás de uma lista de permissões e forneça ao agente uma identidade que não seja a da própria sessão do desenvolvedor. Depois que um agente pode navegar na web aberta e acessar serviços locais privilegiados, o localhost não é mais um limite de confiança.
Oriente o agente para carregar a página da web de um invasor, e o JavaScript dessa página poderá alcançar um serviço local privilegiado na mesma máquina e gerar um processo no host.
Sem credenciais, sem tela de login e sem interação adicional do usuário depois que o agente carrega a página. O invasor só precisa fazer com que o agente o abra, e um link plantado, um campo de URL ou uma injeção imediata bastarão.
A falha está no AutoGen Studio, a interface de prototipagem de código aberto para a estrutura multiagente AutoGen da Microsoft Research. Este não é um bug que atinge todos que instalam o pacote, e vale a pena acertar os detalhes do pacote.
Um simples pip install autogenstudio extrai a versão estável atual, 0.4.2.2, a versão inspecionada pela Microsoft, e não possui nenhuma rota Model Context Protocol (MCP).
Essa é a base para a declaração da Microsoft de que a superfície vulnerável do MCP WebSocket “nunca foi incluída em uma versão do PyPI”. Isso vale para a construção estável. Mas o manipulador vulnerável foi enviado para o PyPI, em duas compilações de pré-lançamento, 0.4.3.dev1 e 0.4.3.dev2.
O Hacker News baixou e inspecionou ambos. A rota MCP WebSocket está presente, o manipulador leva o comando para ser executado diretamente da solicitação e não autentica o chamador. Nenhuma das construções foi arrancada.
pip não instala pré-lançamentos, a menos que você passe --pre ou fixe a versão, portanto, uma instalação simples nunca foi exposta. Qualquer pessoa que instalou um desses pré-lançamentos foi. Ainda não há nenhuma compilação PyPI que carregue o fortalecimento do branch principal para eles; o código corrigido está no GitHub principal no commit b047730.
Como funciona a cadeia
O AutoJack encadeia três pontos fracos no MCP WebSocket.
Primeiro, o soquete localhost confiável, uma verificação destinada a bloquear um navegador normal apontado para um site malicioso. Mas um agente de navegação em execução na mesma caixa é localhost, portanto, qualquer coisa que ele carregue herdará a identidade do localhost e passará na verificação.
Em segundo lugar, o middleware de autenticação ignorou os caminhos do MCP presumindo que o próprio manipulador verificaria os tokens. Isso nunca aconteceu, então o soquete aceitou conexões não autenticadas, independentemente do modo de autenticação configurado.
Terceiro, o endpoint pegou um comando diretamente de um parâmetro de solicitação e o executou, sem nenhuma lista de permissões na qual o executável poderia ser iniciado.
Juntas, uma página na Internet aberta, renderizada por um agente local, poderia executar um comando escolhido pelo invasor na conta que executa o AutoGen Studio.
A Microsoft descreve isso como uma pesquisa, não uma campanha ativa, e não relatou nenhuma exploração em estado selvagem. A prova de conceito usou um agente “Web Content Summarizer” que, quando alimentado com uma URL do invasor, exibe calc.exe na área de trabalho do desenvolvedor, iniciado pelo processo AutoGen Studio.
A Microsoft relatou o comportamento ao Centro de Resposta de Segurança da Microsoft, e os mantenedores reforçaram o branch principal no commit b047730 (PR #7362). O manipulador fixo não lê mais o comando da URL; os parâmetros são armazenados no servidor por trás de um ID de sessão único e IDs desconhecidos são recusados. As rotas MCP agora passam pelo caminho de autenticação normal. Esse fortalecimento ainda não chegou a uma versão do PyPI.
O que fazer
Um simples pip install autogenstudio fornece 0.4.2.2, que não tem rota MCP, portanto você não será afetado.
Se você instalou um pré-lançamento, terá o manipulador vulnerável e nenhuma compilação PyPI corrigida para migrar. Extraia do GitHub principal em ou após o commit b047730. Essa é a verdadeira solução.
Até que haja liberação, separe as peças que o ataque precisa. Não execute o AutoGen Studio na mesma máquina que um agente de navegação ou de execução de código que toca conteúdo não confiável, porque a cadeia só funciona quando ambos compartilham o mesmo host local. Se eles precisarem ser executados juntos, isole-os em contêineres ou VMs separados e execute o AutoGen Studio em uma conta de baixo privilégio.
Os bugs do AutoGen Studio são corrigidos na fonte. O padrão não é. A Microsoft espera o mesmo formato em outras estruturas de agentes: um serviço local com muito poder, uma verificação de host local tratada como segurança e um agente que abre páginas não confiáveis.
A THN viu isso no mês passado no ChatGPhish, onde os resumos das páginas do ChatGPT se tornaram um vetor de phishing. A Microsoft apresentou um argumento de host local semelhante em sua pesquisa RCE do Kernel Semântico, rastreada como CVE-2026-26030 e CVE-2026-25592.
Outra verificação do host local não é suficiente. Autentique o plano de controle, mantenha a execução do processo atrás de uma lista de permissões e forneça ao agente uma identidade que não seja a da própria sessão do desenvolvedor. Depois que um agente pode navegar na web aberta e acessar serviços locais privilegiados, o localhost não é mais um limite de confiança.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #autojack #permite #que #uma #página #da #web #sequestre #agente #de #ia #para #execução #de #código #de #host
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário