文章总结： 微软研究人员披露AutoJack攻击链，可利用AI浏览Agent加载恶意网页实现远程代码执行。漏洞存在于AutoGenStudio预发布版本的MCPWebSocket处理程序，攻击者通过诱导Agent访问恶意URL即可在主机执行任意命令。当前稳定版不受影响，预发布版本用户需手动拉取GitHub修复代码或采用容器隔离等缓解措施。 综合评分： 85 文章分类： 漏洞分析,AI安全,WEB安全,红队,安全建设

AutoJack暗藏致命攻击链路，一个网页可劫持AI Agent执行任意代码

FreeBuf

2026年6月20日 18:00 江苏

在小说阅读器读本章

去阅读

微软研究人员披露了一个名为AutoJack的攻击链，该漏洞可将AI浏览Agent转变为远程代码执行的载体。只需诱导Agent加载攻击者网页，该页面的JavaScript就能访问本地高权限服务并在主机上执行任意进程。整个过程无需凭证验证、无需登录界面，Agent加载页面后也无需额外用户交互——攻击者仅需通过植入链接、URL字段或提示词注入等方式使Agent打开网页即可。

Part01

漏洞根源与版本影响

该漏洞存在于AutoGen Studio——微软研究院AutoGen多Agent框架的开源原型界面中。值得注意的是，并非所有安装包都会受影响，版本差异至关重要：

• 通过pip install autogenstudio安装的稳定版0.4.2.2（微软审查版本）完全不包含Model Context Protocol（MCP）路由
• 但两个预发布版本（0.4.3.dev1和0.4.3.dev2）通过PyPI分发时携带了存在漏洞的MCP WebSocket处理程序

经Hacker News验证，这两个预发布版本中的MCP WebSocket路由存在以下问题：直接执行请求中的未经验证命令。虽然常规pip安装不会获取预发布版本（需显式使用–pre参数），但已安装预发布版本的用户仍面临风险——当前PyPI尚未发布包含主分支修复代码（GitHub提交b047730）的版本。

Part02

攻击链运作原理

AutoJack攻击利用MCP WebSocket的三重缺陷：

三者结合，使得互联网页面通过本地Agent渲染后，能以AutoGen Studio运行账户权限执行攻击者指定命令。微软PoC演示中，”网页内容摘要Agent”在访问恶意URL时会触发开发者桌面弹出calc.exe计算器程序。

Part03

修复方案与缓解措施

微软已通过提交b047730（PR #7362）修复主分支代码，新版本处理程序：

• 不再从URL直接读取命令参数
• 采用一次性会话ID进行服务端参数存储
• 强制MCP路由通过标准认证流程

当前应对方案：

• 稳定版0.4.2.2用户不受影响
• 预发布版本用户需手动拉取GitHub主分支b047730后提交代码
• 在官方修复版本发布前，建议将AutoGen Studio与浏览/代码执行Agent隔离运行：
• 避免两者共存于同一localhost环境
• 必要时采用容器/虚拟机隔离
• 使用低权限账户运行AutoGen Studio

Part04

行业警示

微软指出此类模式普遍存在于Agent框架中：过度授权的本地服务、将localhost验证作为安全边界、可加载不可信页面的Agent。类似问题近期已出现在ChatGPhish（ChatGPT钓鱼向量）和Semantic Kernel RCE（CVE-2026-26030、CVE-2026-25592）中。安全实践需超越简单的localhost检查，应实施控制平面认证、进程执行白名单机制，并为Agent分配独立于开发者会话的身份标识——当Agent既能浏览开放网络又能访问特权本地服务时，localhost已不能作为可信边界。

参考来源：

AutoJack Attack Lets One Web Page Hijack AI Agent for Host Code Execution

https://thehackernews.com/2026/06/autojack-attack-lets-one-web-page.html

推荐阅读

**### *电报讨论*

**

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《AutoJack暗藏致命攻击链路，一个网页可劫持AI Agent执行任意代码》