Pré-lançamentos 0.4.3.dev1 e 0.4.3.dev2 expõem rota WebSocket MCP sem autenticação; JavaScript de página externa pode acionar serviço local privilegiado e iniciar processo no host
| Componente | AutoGen Studio, interface de prototipagem do framework multiagente AutoGen (Microsoft Research), nas pré-lançamentos PyPI 0.4.3.dev1 e 0.4.3.dev2 com rota WebSocket MCP; versão estável 0[.]4[.]2[.]2 não inclui essa superfície |
| Vetor | Indução do agente de navegação a carregar página web controlada por terceiro — via link inserido, campo de URL ou injeção de prompt — permitindo que JavaScript da página alcance serviço local na mesma máquina e envie comando de execução sem credenciais nem interação adicional do usuário |
| Impacto | Execução de processo arbitrário no host sob a conta que executa o AutoGen Studio; prova de conceito documentada abriu calc.exe no desktop do desenvolvedor; Microsoft descreve o achado como pesquisa, sem campanha ativa nem exploração observada em produção |
| Prioridade | Usuários de pré-lançamentos devem migrar para o ramo principal do GitHub no commit b047730 ou superior (PR #7362); isolar AutoGen Studio de agentes que processam conteúdo não confiável; aplicar autenticação no plano de controle, allowlist de executáveis e identidade de agente distinta da sessão do desenvolvedor |
| Versões | Não afetado: pip install autogenstudio → 0[.]4[.]2[.]2 (sem rota MCP). Afetado: 0.4.3.dev1 e 0.4.3.dev2 (ainda disponíveis no PyPI, não removidos). Correção disponível apenas no código-fonte: commit b047730 no ramo main; nenhum build PyPI corrigido publicado até o relato |
| Mitigação | Separar AutoGen Studio e agentes de navegação/execução em contêineres ou VMs distintas; executar AutoGen Studio com conta de baixo privilégio; não confiar em verificação de localhost como barreira quando agente e serviço compartilham o mesmo host |
Pesquisadores da Microsoft documentaram uma cadeia de exploração denominada AutoJack que converte um agente de inteligência artificial capaz de navegar na web em veículo de entrega para execução remota de código no sistema hospedeiro. A sequência não exige credenciais, tela de autenticação nem ação complementar do operador após o agente carregar a página maliciosa: basta induzir o agente a abrir um endereço controlado por um atacante, por meio de link embutido, campo de URL ou tentativa de injeção de prompt.
A falha concentra-se no AutoGen Studio, interface de código aberto voltada à prototipagem sobre o framework multiagente AutoGen, mantido pela Microsoft Research. O detalhe de empacotamento é decisivo para avaliar exposição real. Uma instalação padrão via pip install autogenstudio obtém a versão estável 0[.]4[.]2[.]2 — build inspecionado pela Microsoft — que não expõe rota alguma do Model Context Protocol (MCP). Já dois builds de pré-lançamento publicados no PyPI, 0.4.3.dev1 e 0.4.3.dev2, incluem handler WebSocket MCP vulnerável: aceita o comando a executar diretamente da requisição, não autentica o chamador e permanece disponível no índice, sem remoção (yank). O pip só instala pré-lançamentos quando o operador passa a flag --pre ou fixa explicitamente a versão, de modo que instalações convencionais nunca incorporaram a superfície afetada.
A Microsoft classifica o trabalho como pesquisa de segurança, não como campanha em andamento, e não reporta exploração ativa no ambiente real. O caso foi encaminhado ao Microsoft Security Response Center; mantenedores endureceram o ramo principal no commit b047730 (pull request #7362), mas essa correção ainda não chegou a nenhum artefato PyPI no momento do relato.
A cadeia AutoJack combina três falhas de desenho que, isoladas, parecem defensáveis, mas juntas permitem que conteúdo web não confiável acione execução local. Primeiro, o socket confiava em conexões originadas de localhost — verificação pensada para bloquear um navegador comum apontado a um site malicioso. Um agente de navegação executado na mesma máquina também se apresenta como localhost; qualquer página que ele renderize herda essa identidade e supera o controle.
Segundo, o middleware de autenticação ignorava caminhos MCP sob a premissa de que o handler validaria tokens por conta própria. Essa validação nunca ocorreu, e o socket passou a aceitar conexões não autenticadas independentemente do modo de autenticação configurado na aplicação. Terceiro, o endpoint MCP recebia o comando a executar como parâmetro de requisição e o disparava sem allowlist de binários permitidos, sem restrição sobre qual executável poderia ser iniciado.
Com esses elementos alinhados, uma página na internet aberta por um agente local consegue alcançar um serviço privilegiado residente na mesma estáção e solicitar a criação de um processo escolhido pelo atacante, executado sob a conta que roda o AutoGen Studio. A demonstração pública utilizou um agente de resumo de conteúdo web: ao receber uma URL controlada pelo pesquisador, o fluxo resultou na abertura de calc.exe na área de trabalho do desenvolvedor, iniciado pelo próprio processo do AutoGen Studio.
A correção no ramo principal altera o modelo de confiança. O handler deixou de ler o comando diretamente da URL; parâmetros passam a residir no lado servidor, referenciados por identificador de sessão de uso único, e identificadores desconhecidos são rejeitados. Rotas MCP agora percorrem o caminho normal de autenticação da aplicação. Essas mudanças endereçam a instância concreta, mas a Microsoft alerta que o padrão arquitetural — serviço local excessivamente poderoso, verificação de localhost tratada como barreira suficiente e agente capaz de abrir páginas não confiáveis — provavelmente se repete em outros frameworks de agentes.
A exposição não é universal entre quem instala o pacote autogenstudio. Ambientes que permanecem na versão estável 0[.]4[.]2[.]2, obtida por instalação pip convencional, não possuem a rota WebSocket MCP e, portanto, não entram no escopo técnico desta cadeia. O risco concentra-se em desenvolvedores, laboratórios de pesquisa ou pipelines de teste que instalaram explicitamente os pré-lançamentos 0.4.3.dev1 ou 0.4.3.dev2, ou que fixaram essas versões em ambientes reprodutíveis.
A exploração exige coexistência na mesma máquina — ou no mesmo contexto de localhost percebido pelo serviço — de duas capacidades: um agente capaz de renderizar ou interagir com conteúdo web externo e uma instância do AutoGen Studio com o handler MCP ativo. Cenários típicos incluem estáções de trabalho de engenharia onde prototipagem multiagente e agentes de sumarização ou automação de navegação compartilham o host, ou ambientes de demonstração que combinam agentes de conteúdo web com o Studio em execução local.
- Versões PyPI 0.4.3.dev1 e 0.4.3.dev2: handler MCP presente, comando executável via parâmetro de requisição, sem autenticação do chamador
- Versão estável 0[.]4[.]2[.]2: sem rota MCP; instalação pip padrão não expõe a superfície
- Correção disponível apenas no código-fonte (commit b047730); nenhum build PyPI corrigido publicado no relato
- Pré-lançamentos vulneráveis permanecem indexados no PyPI sem remoção
Como a Microsoft não reporta exploração ativa, a telemetria prioritária é inventário e postura de implantação, não caça a indicadores de campanha. Equipes que experimentam frameworks de agentes devem mapear quais hosts executam AutoGen Studio, qual versão exata está instalada e se agentes de navegação ou sumarização web rodam no mesmo sistema operacional ou contêiner.
Em ambientes que utilizaram pré-lançamentos, revisar logs de instalação pip, lockfiles de dependências e imagens de contêiner por referências a 0.4.3.dev1 ou 0.4.3.dev2, ou por instalações com flag --pre. Monitorar processos filhos iniciados pelo serviço AutoGen Studio fora do padrão esperado de prototipagem — especialmente executáveis de sistema ou binários não relacionados ao fluxo de desenvolvimento — pode sinalizar tentativa de reprodução da prova de conceito ou teste não autorizado.
Para frameworks de agentes em geral, correlacionar eventos de carregamento de URL externa por agentes de navegação com conexões WebSocket locais em portas associadas a serviços MCP ou APIs de controle de agente. Desconfiar de padrões em que conteúdo web não confiável precede imediatamente spawn de processo local sob a mesma conta de serviço.
- Inventariar versões instaladas de autogenstudio; destaque para 0.4.3.dev1 e 0.4.3.dev2
- Verificar coexistência de agente de navegação/sumarização web e AutoGen Studio no mesmo host ou namespace de localhost
- Auditar lockfiles, Dockerfiles e scripts de CI por pinagem de pré-lançamento ou uso de --pre
- Observar criação de processos filhos atípicos originados pelo processo AutoGen Studio após interação do agente com URLs externas
Usuários em versão estável 0[.]4[.]2[.]2 não precisam migrar por causa desta falha específica, mas devem evitar instalar pré-lançamentos sem revisão de notas de segurança. Quem instalou 0.4.3.dev1 ou 0.4.3.dev2 não dispõe, no relato, de build PyPI corrigido para onde migrar: a mitigação técnica imediata é obter o código do ramo principal do GitHub no commit b047730 ou posterior, onde o handler foi endurecido e as rotas MCP passaram pelo fluxo normal de autenticação.
Até que um release PyPI incorpore essas mudanças, a contenção operacional exige separar os componentes que a cadeia une. Não executar AutoGen Studio na mesma máquina — ou no mesmo contexto de localhost efetivo — que um agente de navegação ou execução de código que processe conteúdo não confiável. Quando a coexistência for inevitável, isolar cada peça em contêiner ou máquina virtual distinta e rodar o AutoGen Studio com conta de baixo privilégio, limitando o impacto de um spawn de processo não autorizado.
Além do patch pontual, a lição arquitetural aplica-se a outros stacks de agentes. Verificação de localhost não substitui autenticação robusta no plano de controle, allowlist de executáveis para qualquer endpoint capaz de iniciar processos e identidade de agente separada da sessão interativa do desenvolvedor. Padrões semelhantes já apareceram em outros contextos — incluindo vetores de phishing via resumos de página em assistentes conversacionais e pesquisa sobre execução remota em Semantic Kernel associada aos identificadores CVE-2026-26030 e CVE-2026-25592 — reforçando que agentes com acesso à web e serviços locais privilegiados redefinem o que significa confiar em localhost.
O AutoJack ilustra uma classe emergente de risco em sistemas que combinam modelos de linguagem, automação de navegação e serviços locais de alto privilégio. A superfície não se limita a um único pacote Python: sempre que um agente puder ser desviado para abrir conteúdo externo e, na mesma estáção, existir um serviço que interprete localhost como sinal de confiança, a barreira tradicional entre web e host enfraquece.
Para equipes de engenharia, AppSec e operações de plataforma de IA, a resposta não é apenas aplicar patch de versão, mas revisar o desenho de confiança de cada integração agente-ferramenta-local. Autenticar todas as rotas de controle, nunca delegar execução de comandos a parâmetros vindos de conteúdo web, manter listas explícitas de binários autorizados e tratar agentes automatizados como identidades de risco distintas — não como extensões da sessão humana do desenvolvedor — são requisitos mínimos quando a carga de trabalho inclui navegação autônoma em conteúdo não curado.
0 Comentários