MicrosoftのAutoJack研究が明らかにしたこと:AIブラウジングエージェントがレンダリングした悪意あるWebページが、ローカルMCPサービスに到達し、基盤システム上で任意のプロセスを実行できる仕組み
Microsoftは、Webアクセス機能を持つAIエージェントを通じた新たなリモートコード実行(RCE)経路について警告しています。同社はこの手法を、マルチエージェントアプリケーションの構築・テスト向けオープンソースインターフェースであるAutoGen Studioに対して実証しました。
この実証により、AutoGenを搭載したブラウジングエージェントがレンダリングした悪意あるWebページが、ローカルのModel Context Protocol(MCP)サービスに到達し、ホストマシン上で任意のプロセスを実行できることが明らかになりました。
Microsoftの研究者たちはこの手法を「AutoJack」と命名しました。Webアクセス機能を持つAIエージェントを事実上ハイジャックし、そのローカルアクセス権限を悪用してlocalhostのセキュリティ境界を突破することに由来します。この攻撃はAutoGen StudioのMCP WebSocket実装における3つの独立した脆弱性を連鎖させるものですが、Microsoftは問題がAutoGenにとどまらず、より広範なエージェント型フレームワークにも影響しうると述べています。
「コアサーバーやノートパソコン上のエージェントがオープンなWebを閲覧し、特権を持つローカルサービスと通信できる場合、localhostはもはや信頼境界として機能しません」と同社はブログ記事で述べています。
この調査結果はMicrosoft Security Response Center(MSRC)に内部報告されており、影響を受けたAutoGen Studioのコードは公開PyPIリリース前に修正されたとされています。
3つの脆弱性が連鎖してRCEを誘発
AutoJack攻撃は、AutoGen StudioのMCP WebSocket実装における3つの独立した脆弱性を組み合わせたものです。
1つ目は、localhostからの接続のみを許可するように設計されたオリジンのアローリストに関するものです。通常の状況では、この保護機能により悪意のある外部Webサイトへのブラウザアクセスがブロックされます。しかしMicrosoftは、ローカルで動作するブラウジングエージェントがlocalhostのIDを継承することを発見しました。これにより、エージェントがレンダリングした攻撃者制御のJavaScriptがオリジンチェックを通過できてしまいます。
2つ目は認証ロジックに起因する問題です。AutoGen Studioの認証プロセスは、MCP WebSocketのパスを通常の認証チェックから除外していました。これらのエンドポイントが独自のアクセス制御を実装していることを前提としていたためです。しかしMicrosoftによれば、MCPルートはこの追加チェックを一切実施しておらず、設定された認証モードに関係なく、認証なしでインターフェースにアクセスできる状態になっていました。
3つ目は最も危険な問題です。MCPエンドポイントはURLを通じて渡された「server_params」の値を受け取り、デコードした後、得られたコマンドと引数をMCPサーバー用のプロセス生成メカニズムに直接渡していました。起動可能な実行ファイルを制限するアローリストが存在しなかったため、攻撃者はPowerShell、Bash、その他のバイナリなど任意のコマンドを指定できました。
Microsoftは、これらの脆弱性を連鎖させることで、エージェントにページをレンダリングさせるだけで、AutoGen Studioが動作するマシン上で任意のプロセス実行をWebページから引き起こせるとしています。ユーザーが追加の操作を行う必要はありません。
本番環境への影響なし
Microsoftによれば、脆弱なコードはMCPサポートを含む開発ビルドにのみ存在し、現在のPyPIリリースには含まれていませんでした。つまり、PyPI経由でAutoGen Studioをインストールしたユーザーは、AutoJackの影響を一切受けていないということになります。
ソースからAutoGen Studioをインストールしたユーザー向けには、メンテナーがURLベースのパラメーター注入を削除し、MCPパスを通常の認証フローに組み込み、セッションIDに基づくサーバーサイドのパラメーター処理を実装しました。
個別のバグを超えて、MicrosoftはAutoJackがエージェントフレームワーク全般に共通するパターンを示していると主張しています。「一般的なガイダンスは依然として適用されます。このパターン(マシン上のエージェントがlocalhostサービスにアクセスする)は、この一つのバグよりもはるかに広い問題だからです」と同社は述べています。
AutoJackは、AIモデルがツール、ブラウザ、コードインタープリター、ローカルサービスと接続する際に従来のソフトウェアリスクがどのように変化するかを積極的に研究するMicrosoftの取り組みから生まれたものです。この調査結果は、Microsoftが製品ポートフォリオ全体でエージェント型AIへの取り組みをさらに強化し、エージェントのガバナンス、封じ込め、自律型セキュリティシステムへの投資を拡大するなかで発表されました。
