- MicrosoftのDefender Security Research Teamが「AutoJack」を公開——AutoGen Studioの脆弱性チェーンにより、悪意あるウェブサイト経由でのRCEが可能に
- 脆弱性はlocalhostチャネルの悪用、ログインチェックのスキップ、任意コード実行の三つで構成され、攻撃者が用意したプログラムをエージェントに実行させることが可能
- 問題はGitHubの初期ビルドにのみ存在しリリース前に修正済み;ローカルコントロールプレーンの厳格な認証と隔離の重要性を示す事例
MicrosoftのDefender Security Research Teamは、AutoGen Studioに存在する脆弱性チェーンを公開しました。この脆弱性を悪用されると、AIエージェントが動作するデバイス上で、悪意ある一つのウェブサイトによってリモートコード実行(RCE)が可能になります。
AutoGen StudioはMicrosoft ResearchがAIエージェント開発のために構築したプログラムです。この脆弱性チェーンは「AutoJack」と名付けられており、三つの欠陥から構成されています。個別に見れば特段問題にならないものですが、組み合わさると話はまったく別になります。
「私たちがAutoJackと呼ぶこの手法は、多くの開発者ツールが依存するlocalhostの信頼境界を越えることで、エージェントを攻撃者の”ラストマイル配送手段”へと変えてしまいます」とMicrosoftはレポートで説明しています。
脆弱性の修正
まず、AutoGen Studioには「localhost」からの接続のみを受け付けるローカルコントロールチャネルが存在していました。これは外部の攻撃者をブロックするうえで有効な手段です。
しかし、AIエージェントのウェブブラウザも「localhost」として扱われるため、そこからの接続も受け入れられてしまいます。さらに、この特定のチャネルではログインチェックが省略されていました。
アプリにはユーザー名とパスワードを要求する仕組みが複数用意されていましたが、このローカルチャネルを処理するコード部分は完全に無防備なままになっていました。
最後に、このチャネルは命令されたほぼあらゆるものを実行してしまいます。Microsoftの研究者たちは任意のプログラムを実行させることに成功しており、脅威アクターも悪意あるコードを使って同様のことが可能であることを意味します。
理論上、攻撃は次のような形で成立します。被害者が特定のウェブサイトを要約するようAIエージェントに指示します。するとエージェントは悪意あるコードをダウンロードして実行するよう誘導され、そのコードはバックドアマルウェアから情報窃取ツールまで、あらゆるものになり得ます。
幸いなことに、Microsoftはこの問題が一般ユーザーに影響を与える前に発見・報告しました。この問題はGitHub上の初期開発バージョンにのみ存在しており、AutoGen Studioの公式ダウンロード版には一切影響がありませんでした。AutoGenチームはその後、問題を修正しています。
「エージェントが信頼できないページを閲覧しながら、権限を持つローカルサービスとも通信できる状況では、ループバックが攻撃面になり得ます。コントロールプレーンは認証・認可・隔離を徹底しなければなりません」とMicrosoftは結論付けています。
