Rantai kerentanan yang dijuluki AutoJack di antarmuka AutoGen Studio Microsoft untuk membuat prototipe agen AI dapat memungkinkan penyerang memanipulasi agen untuk menjalankan perintah sewenang-wenang pada sistem hostnya hanya dengan mengunjungi halaman web berbahaya.
AutoGen Studio adalah komponen grafis untuk AutoGen, kerangka kerja sumber terbuka Microsoft untuk membangun sistem AI multi-agen. Kerangka kerja ini memungkinkan pengembang untuk membuat agen AI yang dapat berkolaborasi satu sama lain, menggunakan alat, menjelajahi web, mengeksekusi kode, berinteraksi dengan API, dan terhubung ke sistem eksternal.
Proyek ini sangat populer, dengan lebih dari 59.000 bintang dan hampir 9.000 fork di GitHub. Microsoft mencatat bahwa dampak AutoJack terbatas karena masalah tersebut telah diatasi selama pengembangan.
“Masalah ini telah diidentifikasi dan diperbaiki sebelum rilis PyPI, sehingga kode yang terpengaruh tidak pernah dikirimkan dalam paket yang dipublikasikan,” kata Microsoft.
“Paparan terbatas pada pengembang yang membangun AutoGen Studio dari cabang utama GitHub selama jeda antara pendaratan plugin MCP dan penerapan pengerasan.”
Detail AutoJack
Microsoft menjelaskan serangan AutoJack didasarkan pada tiga kelemahan terpisah di AutoGen Studio:
- MCP WebSocket memercayai koneksi yang berasal dari localhost, sehingga memungkinkan agen penjelajahan yang berjalan di mesin yang sama tertipu agar memuat JavaScript yang dikendalikan penyerang yang tampaknya berasal dari sumber lokal tepercaya
- Middleware autentikasi AutoGen Studio mengecualikan rute /api/mcp/* dari pemeriksaan autentikasi, sedangkan titik akhir MCP WebSocket gagal mengimplementasikan autentikasinya sendiri, sehingga dapat diakses tanpa kredensial
- MCP WebSocket menerima nilai server_params yang dikodekan base64 dari URL dan meneruskannya ke kode peluncuran proses, memungkinkan penyerang untuk menentukan dan mengeksekusi PowerShell, perintah Bash, atau file yang dapat dieksekusi secara sewenang-wenang.
Sumber: Microsoft
Dalam skenario serangan realistis yang disajikan Microsoft, JavaScript berbahaya dijalankan pada halaman yang dikunjungi oleh agen AI pengembang, yang membuka koneksi WebSocket ke titik akhir MCP lokal AutoGen Studio.
Payload menginstruksikan AutoGen Studio untuk meluncurkan perintah yang dipilih penyerang dengan hak istimewa akun pengembang. Untuk mendemonstrasikan efeknya, Microsoft mendemonstrasikan peluncuran Windows Kalkulator.
Sumber: Microsoft
Perlu dicatat bahwa pengguna yang menginstal AutoGen Studio dari Python Package Index (PyPI) tidak pernah terkena kode yang terpengaruh. Paket terbaru saat ini, autogenstudio 0.4.2.2, tidak mengandung kelemahan AutoJack.
Namun, pengembang membangun AutoGen langsung dari GitHub selama jangka waktu terbatas sebelumnya melakukan b047730 terkena dampak dalam waktu singkat.
Microsoft merekomendasikan pengguna yang menginstal AutoGen Studio untuk menyebarkannya “secara ketat sebagai prototipe pengembang di lingkungan yang terisolasi” yang tidak terekspos ke internet.
Lebih jauh lagi, pengelola menekankan bahwa proyek tidak boleh dijalankan dengan agen yang mampu menelusuri atau mengeksekusi kode arbitrer pada mesin dengan konten yang tidak tepercaya.
“Jalankan AutoGen Studio di bawah akun dengan hak istimewa rendah di profil pengguna atau wadah sandbox sehingga RCE yang digerakkan oleh agen di masa depan dimasukkan ke dalam profil pengembang, bukan akun driver harian Anda,” saran Microsoft.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
