Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Попросил нейросеть почитать статью — остался без паролей. Microsoft показала, как ИИ-агенты приносят вирусы с чужих сайтов

5202
AutoJack AutoGen Studio ИИ-агенты MCP удалённое выполнение кода
Попросил нейросеть почитать статью — остался без паролей. Microsoft показала, как ИИ-агенты приносят вирусы с чужих сайтов
AutoJack AutoGen Studio ИИ-агенты MCP удалённое выполнение кода

Microsoft обнаружила атаку AutoJack на ИИ-агентов в AutoGen Studio

image

Исследователи Microsoft обнаружили цепочку атаки AutoJack, при которой вредоносная веб-страница могла заставить ИИ-агента запустить произвольную программу на компьютере разработчика. Проблема затрагивала экспериментальные сборки AutoGen Studio, интерфейса для создания и тестирования агентов на базе фреймворка AutoGen.

AutoGen Studio позволяет подключать MCP-серверы. Model Context Protocol, или MCP, связывает ИИ-агентов с программами, файлами, базами данных и другими внешними инструментами. В уязвимой сборке локальный MCP-интерфейс принимал через WebSocket параметры запуска процесса, декодировал данные из URL и передавал команду операционной системе. Список разрешённых программ отсутствовал, поэтому сервис мог запустить любую указанную программу от имени разработчика.

Для атаки злоумышленнику требовалось заставить агента открыть подготовленную страницу. В качестве примера Microsoft приводит сервис для краткого пересказа сайтов: пользователь передаёт ссылку, агент открывает страницу в браузере и изучает содержимое. Вредоносный код мог попасть к агенту через ссылку, комментарий на легитимном сайте или инструкцию, скрытую в чужом тексте. После загрузки страницы JavaScript обращался к локальному серверу AutoGen Studio на стандартном порту 8081 и передавал команду для запуска.

Цепочку составили три ошибки. Проверка WebSocket-подключений доверяла запросам с localhost, однако браузерный агент работал на той же машине и получал доступ к локальному интерфейсу. Система аутентификации пропускала маршруты MCP без проверки учётных данных. Наконец, AutoGen Studio принимал параметры командной строки из URL и не ограничивал набор исполняемых файлов.

Атака не требовала отдельного клика или подтверждения после перехода агента на вредоносную страницу. Программа запускалась с правами учётной записи, от которой работал AutoGen Studio. Последствия зависели от доступных прав: на рабочем ноутбуке злоумышленник мог получить доступ к файлам, ключам, токенам и внутренним сервисам.

Уязвимый MCP-интерфейс не попал в опубликованные пакеты AutoGen Studio. Пользователи, установившие программу через pip install autogenstudio, не подвержены AutoJack: Microsoft проверила актуальную версию 0.4.2.2 и не нашла в пакете маршрута MCP или кода для запуска процессов через уязвимый WebSocket. Риск касался разработчиков, собиравших AutoGen Studio из основной ветки GitHub после добавления MCP-плагина и до исправления.

Разработчики убрали передачу параметров запуска через URL, привязали параметры к серверной сессии и включили проверку аутентификации для MCP-маршрутов. Microsoft рекомендует использовать сборки после коммита b047730, запускать экспериментальные агентные приложения в контейнере, виртуальной машине или отдельной учётной записи с ограниченными правами. Локальные сервисы с доступом к коду и файлам также не стоит считать защищёнными только потому, что сервисы доступны через localhost.