此篇文章聚焦於微軟研究團隊揭露的全新攻擊手法「AutoJack」,並以AutoGen Studio開發版本曾出現的弱點為案例,說明AI代理程式在具備網頁瀏覽能力與本機工具存取能力後,可能帶來的新型資安風險。AutoGen Studio是建立在AutoGen多代理系統框架上的開發介面,主要協助開發者快速組合AI代理程式、串接工具並測試原型。文章指出,問題的關鍵不只是單一漏洞,而是當AI代理程式能瀏覽外部網頁,又能接觸本機服務時,惡意網頁可能透過代理程式成為攻擊本機環境的跳板。過去許多開發工具會將localhost或127.0.0.1等本機連線視為較可信任的來源,但在AI代理程式參與工作流程後,這樣的信任假設開始變得脆弱。換言之,開發者原本以為只是讓代理程式讀取網頁並摘要內容,實際上卻可能讓外部惡意內容有機會觸碰本機的開發介面與工具鏈。
此篇文章進一步說明,AutoJack攻擊鏈是由三個設計缺陷串連而成。首先,當時AutoGen Studio的WebSocket Origin允許清單僅檢查localhost或127.0.0.1,這種設計可以阻擋一般瀏覽器從惡意網站直接連入本機服務,但若惡意內容是由本機上的AI代理程式載入,就可能繞過這層防線。其次,部分MCP相關路徑未套用原本應有的登入驗證,使攻擊面進一步擴大。第三,連線介面可從網址參數接收設定值,並將這些設定交給系統啟動外部程式,最終形成遠端程式碼執行的條件。文章以研究團隊的展示為例,描述開發者執行一個能瀏覽網頁並摘要內容的AutoGen代理程式後,攻擊者只要誘使代理程式前往惡意頁面,頁面中的指令碼便可嘗試連向本機AutoGen Studio服務,並夾帶經過編碼的參數,讓主機在開發者帳號權限下開啟Windows小算盤程式。雖然範例採用小算盤作為受控驗證,但文章也提醒,同樣方法理論上可被改寫為執行其他命令,風險不容低估。
文章最後也交代了修補狀態與實際影響範圍,避免讀者過度恐慌。相關問題目前已在AutoGen主分支修補,且受影響介面並未進入Python套件庫的正式發行版,因此透過Python套件庫安裝AutoGen Studio的使用者,不受這條特定攻擊鏈影響。AutoGen後續設計已調整,不再讓MCP WebSocket處理程式直接從網址讀取啟動參數,而是改由伺服器端先保存參數,再以連線識別碼進行對應;同時,維護團隊也修正驗證規則,讓MCP相關路徑回到一般驗證流程。此篇文章的重點不只在於AutoGen Studio某個開發版本的漏洞,而是揭示AI代理程式安全設計的新挑戰:當代理程式被賦予瀏覽網頁、呼叫工具、接觸本機服務的能力後,傳統「本機就是可信任」的安全邏輯已不再足夠。對開發者與企業而言,未來在導入AI代理工具時,除了關注功能與效率,也必須同步檢視驗證機制、權限邊界與外部內容處理流程,才能降低AI工具鏈被惡意網頁利用的風險。