AutoJackAI智能体漏洞利用技术曝光

admin 2026-06-30 10:33:42 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软安全团队披露AutoJackAI智能体漏洞利用技术,该漏洞影响AutoGenStudio等开发工具,通过组合localhost信任过度、身份验证缺失和URL直接执行三个弱点实现远程代码执行。攻击者只需诱导智能体访问恶意网页即可静默执行任意命令。维护者已发布修复补丁,建议开发者将工具参数视为不可信输入、强制本地身份验证并使用隔离环境运行智能体。 综合评分: 85 文章分类: 漏洞分析,AI安全,WEB安全,安全建设,解决方案


cover_image

AutoJack AI 智能体漏洞利用技术曝光

sec随谈 sec随谈

sec随谈

2026年6月26日 10:09 北京

在小说阅读器读本章

去阅读

微软安全研究团队近期揭露了 AutoJack AI 智能体漏洞利用技术。该漏洞影响了多款热门的开发者工具。具体而言,AutoGen Studio 中的一个重大漏洞使系统面临远程代码执行(RCE)风险。黑客可以轻松利用这一 AutoJack AI 智能体漏洞,他们只需让本地智能体访问一个恶意网页即可。

现代 AI 智能体的本质

现代 AI 智能体的功能远不止于聊天。报告指出,现代 AI 智能体不只是文本生成器,它们会读取文件、浏览网页、调用 API,并调用外部工具执行命令。因此,这种强大的实用性也催生了新的攻击面。开发者往往把 localhost(本地主机)视为绝对安全的区域。然而,AutoJack AI 智能体漏洞利用技术彻底证明了这一假设是错误的。

该漏洞将三个独立的弱点无缝串联在一起。首先,系统在未验证智能体身份的情况下,隐式信任所有 localhost 连接。其次,对于某些通信路径,身份验证完全是可选的。最后,该工具未经适当的安全检查就原样执行 URL。因此,攻击者能够轻松绕过现有的防御措施。

理解 AutoGen Studio 漏洞

攻击始于一个非常简单的动作:本地智能体访问一个由攻击者控制的网页。接着,该恶意页面触发一个本地 WebSocket 连接。由于智能体在本地运行,系统会天然地信任其来源。这一本地来源实质上起到了”通行证”的作用。

研究人员清晰地阐释了其中的危险。他们将这一技术命名为 AutoJack,它通过跨越众多开发者工具所依赖的 localhost 信任边界,将智能体劫持为攻击者的”最后一公里”投递载体。因此,本地浏览器实质上变成了一件危险的武器。

三步漏洞利用链

第一个问题涉及缺失的来源验证(origin validation)环节。系统仅允许来自本地 IP 地址的连接。而一个导航至恶意网站的无头浏览器(headless browser)自然会继承这种信任。因此,恶意 JavaScript 能够轻松绕过来源过滤器。

第二个问题涉及身份验证中间件的可选退出(opt-out)机制。AutoGen Studio 对特定的模型上下文协议(MCP)路径跳过了检查。因此,WebSocket 在没有任何必要身份验证的情况下接受连接。这一严重疏漏移除了一道重要的防御层。

无需交互的执行

第三个问题允许直接执行命令。系统直接从 URL 中接受一个特定参数,对载荷进行 base64 解码,并生成任意的服务器进程。例如,它会欣然运行诸如本地计算器应用或 shell 脚本之类的命令。

首先,本地智能体浏览一个被攻陷的网站。然后,该网站的 JavaScript 打开存在漏洞的本地 WebSocket。接着,服务器解码攻击者隐藏的载荷,并以开发者的用户账户身份运行任意命令。这一切瞬间完成。此外,完全无需任何额外的用户交互。这一 AutoGen Studio 漏洞允许即时、静默的执行。

保护 localhost 信任边界

幸运的是,项目维护者迅速采取了行动。他们在重大公开发布之前就妥善修补了该漏洞。如今,通过标准软件包安装的用户仍然是完全安全的。不过,这其中更广泛的教训对所有开发者而言仍然至关重要。

研究人员就原型(prototype)项目发出了严正警告。其要点并非要避免使用原型,而是:当你核心服务器或笔记本电脑上的智能体既能浏览开放网络、又能与具有特权的本地服务通信时,localhost 就不再是一道信任边界了。

如何保护你的 AI 项目

你必须主动采取措施来保护你的智能体。务必将工具参数视为完全不可信的输入。此外,应在所有本地控制平面上强制实施强身份验证。切勿想当然地认为本地网络环境天生就是安全的。

最后,要严格地将智能体的身份与你的开发者账户区分开来。始终使用隔离的容器或安全的虚拟机。这些坚固的屏障能显著限制潜在的影响范围(blast radius)。请记住,随着 AI 工具的快速演进,要时刻保持高度警惕。

参考链接:

AutoJack: How a single page can RCE the host running your AI agent 


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《AutoJack AI 智能体漏洞利用技术曝光》

评论:0   参与:  0