AutoJack - Kritična ranjivost omogućava preuzimanje kontrole nad AI agentima kroz običnu web stranicu
Kritična ranjivost u AutoGen Studio omogućava napadu da kroz običnu web stranicu preuzme kontrolu nad AI agentom i izvrši kod.
Šta se desilo?
Istraživači su otkrili lanac od tri kritične ranjivosti u AutoGen Studio-u, alatu iz Microsoftovog istraživačkog laboratorija. Maliciozna web stranica može da preuzme kontrolu nad AI agensom i izvrši proizvoljan kod na lokalnoj mašini bez dodatne interakcije korisnika - dovoljno je da agent samo poseti štetan URL. Napad koristi ugrađene mogućnosti pregledavanja web-a da zaobiđe sigurnosne provere i izvrši RCE (remote code execution) pod identitetom korisnika koji pokreće AutoGen Studio.
Koga pogađa?
Programeri i istraživači koji koriste AutoGen Studio za razvoj AI sistema sa mogućnostima pregledavanja veba. Zahvaljujući specifičnom načinu distribucije, rizik je uglavnom ograničen na razvijače koji koriste glavni kod direktno iz repozitorijuma - instalacija preko PyPI paketnog menadžera (verzija 0.4.2.2) nije pogođena jer nije sadržavala ranjivu komponentu.
Kako se zaštititi?
- Ažurirajte AutoGen Studio na verziju 0.7.2 ili noviju sa ispravljenim kodom (commit b047730)
- Nikad ne koristite localhost servise bez proverе identiteta čak i ako mislite da su zaštićeni
- Izolujte AI agente u odvojena okruženja - container, poseban OS korisnik ili virtuelnu mašinu - odvojena od razvojnog okruženja
- Zabranite izvršavanje произvolјnih komandi kroz API - koristite whitelist dozvoljenih programa
- Tretirajte sve parametre koje AI agent može da генериše kao potencijalno opasne
Tehnički detalji
AutoJack lanac napada koristi tri povezane ranjivosti: CWE-1385 (nedostaje provera porekla u WebSocket konekcijama), CWE-306 (nedostaje autentifikacija za kritične funkcije) i CWE-78 (mogućnost injektovanja OS komandi kroz server_params parametar). Napadač pravi malicioznu stranicu sa JavaScript kodom koji otvara WebSocket konekciju ka localhost servisu, prosleđuje base64 kodirani payload sa komandom za izvršavanje, a AutoGen Studio bezuslovno pokreće tu komandu. Microsoft je ispravio sve tri ranjivosti: server_params se više ne prihvata kroz URL, parametri se sada čuvaju na serveru i identifikuju sa UUID-om, a sve MCP rute sada prolaze kroz standardnu autentifikaciju.
Preporuka Sajber Radara
Ovo je primer veoma važnog problema koji se pojavljuje u ekosistemu AI agenata - kada agent može da čita nepouzdane sadržaje sa interneta a istovremeno ima pristup lokalnim servisima, localhost prestaje da bude sigurna granica. Preporučujemo svim razvojnim timu da prate sigurnosne patche za AI framework-e koje koriste i da implementiraju stroge sigurnosne granice između agenata i razvojnog okruženja.
