L’étude AutoJack de Microsoft montre comment une page Web malveillante rendue par un agent de navigation IA peut atteindre les services MCP locaux et exécuter des processus arbitraires sur le système sous-jacent.
Microsoft met en garde contre une nouvelle voie d’exécution de code à distance (RCE) possible via des agents d’IA Web, démontrant la technique par rapport à AutoGen Studio, son interface open source pour créer et tester des applications multi-agents.
La démonstration a montré qu’une page Web malveillante rendue par un agent de navigation alimenté par AutoGen pouvait atteindre un service MCP (Model Context Protocol) local et exécuter des processus arbitraires sur la machine hôte.
Les chercheurs de Microsoft ont surnommé la technique « AutoJack » car elle détourne efficacement un agent IA accédant au Web et abuse de son accès local de confiance pour contourner les limites de sécurité de l’hôte local. L’attaque enchaîne trois faiblesses distinctes dans l’implémentation MCP WebSocket d’AutoGen Studio, bien que Microsoft ait déclaré que le problème s’étend au-delà d’AutoGen et pourrait affecter une classe plus large de frameworks agentiques.
« Lorsqu’un agent sur votre serveur principal ou votre ordinateur portable peut naviguer sur le Web ouvert et communiquer avec des services locaux privilégiés, localhost cesse d’être une limite de confiance », a-t-il déclaré dans un article de blog.
Les résultats ont été signalés en interne au Microsoft Security Response Center (MSRC) et le code AutoGen Studio concerné aurait été corrigé avant d’atteindre une version publique de PyPI.
Trois failles enchaînées dans RCE
L’attaque AutoJack combinait trois faiblesses distinctes dans l’implémentation MCP WebSocket d’AutoGen Studio.
Le premier impliquait une liste d’autorisation d’origine conçue pour accepter les connexions uniquement depuis localhost. Dans des conditions normales, cette protection bloquerait un navigateur visitant un site Web externe malveillant. Cependant, Microsoft a découvert qu’un agent de navigation exécuté localement héritait de l’identité localhost, permettant ainsi au code JavaScript contrôlé par l’attaquant rendu par l’agent de satisfaire à la vérification de l’origine.
Le deuxième problème provenait de la logique d’authentification. Le processus d’authentification d’AutoGen Studio excluait les chemins MCP WebSocket des contrôles d’authentification normaux, en supposant que ces points de terminaison implémenteraient leurs propres contrôles. Selon Microsoft, la route MCP n’a jamais appliqué ces vérifications supplémentaires, laissant l’interface accessible sans authentification quel que soit le mode d’authentification configuré.
Le troisième était le plus dangereux des problèmes. Le point de terminaison MCP a accepté une valeur « server_params » fournie via une URL, l’a décodée et a transmis la commande et les arguments résultants directement au mécanisme de génération de processus utilisé pour les serveurs MCP. Étant donné qu’aucune liste d’autorisation ne restreint les exécutables pouvant être lancés, les attaquants pourraient spécifier des commandes arbitraires telles que PowerShell, Bash ou d’autres binaires.
Microsoft a déclaré que l’enchaînement de ces faiblesses permettait à une page Web de déclencher l’exécution de processus arbitraires sur la machine hébergeant AutoGen Studio sans interaction supplémentaire de l’utilisateur au-delà du fait que l’agent rende la page.
La menace n’a jamais touché la production
Microsoft a déclaré que le code vulnérable n’existait que dans les versions de développement incluant le support MCP et n’avait jamais été livré via la version actuelle de PyPI. Cela signifie que les utilisateurs qui ont installé AutoGen Studio via PyPI n’ont jamais été exposés à AutoJack.
Pour ceux qui installent AutoGen Studio à partir des sources, les responsables ont ensuite supprimé l’injection de paramètres basée sur l’URL, acheminé les chemins MCP via des flux d’authentification normaux et implémenté la gestion des paramètres côté serveur liée aux identifiants de session.
Au-delà des bugs spécifiques, Microsoft affirme qu’AutoJack illustre un modèle dans les frameworks d’agents. « Les directives générales s’appliquent toujours car le modèle (un agent sur la boîte atteignant les services localhost) est plus large que ce bug unique », a-t-il déclaré.
AutoJack est le résultat des recherches actives de Microsoft sur la manière dont les risques liés aux logiciels traditionnels évoluent lorsque les modèles d’IA se connectent à des outils, des navigateurs, des interpréteurs de code et des services locaux. Ces résultats surviennent alors que Microsoft redouble d’efforts dans ses initiatives d’IA agentique dans son portefeuille de produits, en élargissant ses investissements dans la gouvernance des agents, le confinement et les systèmes de sécurité autonomes.
