這篇文章將帶領大家分析近期由微軟研究人員發現的 AutoJack 攻擊手法。這並非單一的程式錯誤,而是一個典型的漏洞鏈,揭示了在開發 AI Agent(AI 代理人)時,許多工程師容易陷入的安全性誤區。
首先我們得理解攻擊目標:AutoGen Studio。它是微軟 AutoGen 多代理人框架的開源原型介面,允許開發者快速建構能協作的 AI 代理人。其中一個關鍵組件是 MCP(Model Context Protocol),這是一個讓 AI 模型能與外部工具或本地服務溝通的標準協議。
AutoJack 攻擊的核心在於,攻擊者只要能誘導 AI Agent 開啟一個特定的惡意網頁,就能在運行該 Agent 的主機上執行任意程式碼(Remote Code Execution, RCE)。這意味著攻擊者不需要你的密碼,也不需要你點擊任何確認按鈕,只要 AI Agent 讀取了該網頁,你的電腦就可能被控制。
這個攻擊鏈由三個安全漏洞共同組成,對於 Junior 工程師來說,這是一個非常好的反面教材。
第一個漏洞是過度信任 Localhost。開發者在設計 MCP WebSocket 服務時,設定了只接受來自 localhost(本地主機)的請求,認為這樣可以防止外部網路的攻擊者直接存取。然而,AI Agent 的運作邏輯是:它在本地運行,但會去瀏覽外部網頁。當 Agent 載入惡意網頁時,該網頁執行的 JavaScript 腳本是以 Agent 的身份發出請求。對伺服器而言,這個請求確實來自 localhost,因此直接通過了檢查。
第二個漏洞是身份驗證缺失。在系統設計中,開發者假設 MCP 路徑的處理程序會自行驗證 Token(身份令牌),因此在中間件(Middleware)中跳過了對 MCP 路徑的驗證。結果是,該處理程序實際上根本沒有實作任何驗證邏輯,導致任何能觸發請求的人都能直接操作該接口。
第三個漏洞是缺乏輸入驗證。該端點直接將請求參數中的指令傳遞給系統執行,且沒有設定允許執行的白名單。這就給了攻擊者最高權限,只要傳入指令,系統就會照單全收。
綜合以上三點,攻擊流程變成了:攻擊者誘導 Agent 開啟網頁 $\rightarrow$ 網頁腳本發送 Localhost 請求 $\rightarrow$ 繞過驗證 $\rightarrow$ 執行惡意指令。
在實務部署上,這個問題出現在 AutoGen Studio 的預發行版本(0.4.3.dev1 與 0.4.3.dev2)中。如果你是使用標準的 pip install 安裝穩定版,則不受影響,因為穩定版尚未包含這段有問題的 MCP 程式碼。但如果你為了嘗試新功能而安裝了開發版本,就處於風險之中。
這次事件給 AI 開發者的重要啟示是:Localhost 不再是信任邊界。
在傳統 Web 開發中,我們習慣認為本地請求是安全的。但在 AI Agent 時代,Agent 扮演了橋樑的角色,它將外部不可信的內容(網頁、文件)引入本地環境。如果你的本地服務權限過高,且僅依賴 IP 檢查來做安全防護,那麼 Agent 就變成了攻擊者的跳板。
為了避免類似問題,建議採取以下防禦策略:
第一,實作強身份驗證。無論請求來自內部還是外部,控制平面(Control Plane)的所有操作都必須經過嚴格的身份驗證,不能假設本地請求就一定是安全的。
第二,執行白名單機制。絕對不要直接執行從參數傳入的指令。應該定義一個明確的可用工具清單,限制 Agent 只能調用特定的函數或程式。
第三,權限隔離。不要以開發者的高權限帳號運行 AI Agent。應該將 Agent 部署在獨立的容器(Container)或虛擬機(VM)中,並賦予最低限度的權限,確保即便發生 RCE,攻擊者也無法影響主機系統。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。