Un solo sitio y sin clics: el equipo ya está comprometido. Microsoft detecta una brecha que convertía a un agente de IA en herramienta de hackeo
Lo que Microsoft descubrió en AutoGen Studio y por qué afecta a todos los desarrolladores de IA
Un sitio malicioso puede convertir a un agente de IA en un intermediario para atacar el ordenador del desarrollador. Los especialistas de Microsoft Defender Security Research describieron la cadena AutoJack, que permitía ejecutar comandos de forma remota en una máquina con AutoGen Studio si el agente abría la página del atacante.
El problema afectaba a AutoGen Studio – la interfaz en la que los desarrolladores crean rápidamente prototipos de sistemas multiagente basados en AutoGen. El escenario era peligroso no por un solo error, sino porque varias debilidades se combinaban entre sí. El agente podía navegar por páginas externas, y el servicio local AutoGen Studio confiaba en quien se conectara desde las direcciones localhost y 127.0.0.1. En un navegador normal esa protección bloquearía un sitio externo, pero el agente de IA funcionaba en la máquina del desarrollador, por lo que la página del atacante podía dirigirse a la interfaz de control local.
La segunda parte de la cadena estaba relacionada con cómo se comprobaba el acceso. En AutoGen Studio, las rutas /api/mcp/* y /api/ws/* eludían la comprobación intermedia de autenticidad, ya que se suponía que tales conexiones las verificaría el propio manejador. El WebSocket de MCP no recibía esa verificación. Como resultado, la conexión se aceptaba sin token, incluso si el resto de la aplicación funcionaba con la autorización activada.
El tercer punto débil resultó ser el más peligroso. El endpoint aceptaba el parámetro server_params de la cadena de consulta, lo decodificaba desde base64, lo convertía en la configuración StdioServerParams y lo pasaba como comando para iniciar el servidor MCP. No había una lista restrictiva de archivos ejecutables, por lo que en lugar del servidor MCP legítimo se podía indicar calc.exe, PowerShell o bash con los argumentos necesarios.
Demostrando el ataque, el desarrollador ejecutó AutoGen Studio en el puerto local 8081 y luego pidió al agente que resumiera brevemente el contenido de la página. El agente abría el sitio del atacante, un script incrustado creaba una conexión WebSocket con el AutoGen Studio local, enviaba los parámetros preparados y entonces la aplicación ejecutaba el comando en nombre del usuario. No se requerían acciones adicionales por parte de la víctima.
Microsoft remitió la información al Microsoft Security Response Center, tras lo cual los desarrolladores reforzaron la protección en la rama principal de AutoGen. El manejador de WebSocket ya no toma server_params de la cadena de consulta; los parámetros ahora se vinculan en el servidor mediante una solicitud separada y un identificador de sesión. Además, las rutas MCP ahora se verifican de nuevo al mismo nivel que las demás solicitudes.
Microsoft enfatiza que el código vulnerable no llegó a la versión de AutoGen Studio publicada en Python Package Index. Los usuarios que instalaron AutoGen Studio mediante pip no están afectados por esta cadena en particular. El riesgo afectó a los desarrolladores que compilaban AutoGen Studio desde la rama principal de GitHub en el intervalo entre la inclusión del soporte MCP y la corrección de la vulnerabilidad.
Cuando un agente de IA puede abrir sitios no verificados y, al mismo tiempo, acceder a servicios locales privilegiados, localhost deja de ser una frontera de seguridad fiable. Se aconseja a los desarrolladores de estos sistemas exigir autorización para todas las interfaces de control, limitar la posibilidad de ejecutar comandos externos, aislar a los agentes de la cuenta del desarrollador y ejecutar los prototipos en contenedores, máquinas virtuales o entornos aislados.