Los investigadores de Microsoft han detallado una cadena de exploits, llamada AutoJack, que convierte un agente de navegación de IA en un vehículo de entrega para la ejecución remota de código.
Dirige al agente para que cargue la página web de un atacante, y el JavaScript de esa página puede llegar a un servicio local privilegiado en la misma máquina y generar un proceso en el host.
Sin credenciales, sin pantalla de inicio de sesión y sin más interacción del usuario una vez que el agente carga la página. El atacante sólo tiene que lograr que el agente lo abra, y un enlace colocado, un campo URL o una inyección rápida serán suficientes.
La falla se encuentra en AutoGen Studio, la interfaz de creación de prototipos de código abierto para el marco multiagente AutoGen de Microsoft Research. Este no es un error que afecta a todos los que instalan el paquete, y vale la pena corregir los detalles del paquete.
Un autogenstudio de instalación de pip simple extrae la versión estable actual, 0.4.2.2, la compilación que Microsoft inspeccionó, y no tiene ninguna ruta de protocolo de contexto modelo (MCP).
Esa es la base de la declaración de Microsoft de que la superficie vulnerable MCP WebSocket «nunca se incluyó en una versión de PyPI». Es válido para la construcción estable. Pero el controlador vulnerable se envió a PyPI, en dos versiones preliminares, 0.4.3.dev1 y 0.4.3.dev2.
The Hacker News descargó e inspeccionó ambos. La ruta MCP WebSocket está presente, el controlador toma el comando para ejecutarlo directamente desde la solicitud y no autentica a la persona que llama. Ninguna construcción ha sido eliminada.
pip no instala versiones preliminares a menos que pase –pre o fije la versión, por lo que nunca se expuso una instalación simple. Cualquiera que haya instalado una de esas versiones preliminares lo fue. Todavía no existe una compilación de PyPI que lleve el refuerzo de la rama principal para ellos; el código fijo está en GitHub principal en la confirmación b047730.
Como funciona la cadena
AutoJack encadena tres debilidades en el MCP WebSocket.
Primero, el socket confiaba en localhost, una verificación destinada a bloquear un navegador normal que apunta a un sitio malicioso. Pero un agente de navegación que se ejecuta en el mismo cuadro es localhost, por lo que todo lo que carga hereda esa identidad de localhost y pasa la verificación.
En segundo lugar, el middleware de autenticación omitió las rutas de MCP suponiendo que el controlador verificaría los tokens por sí mismo. Nunca lo hizo, por lo que el socket aceptó conexiones no autenticadas independientemente del modo de autenticación configurado.
En tercer lugar, el punto final tomó un comando directamente de un parámetro de solicitud y lo ejecutó, sin una lista de permitidos en la que se pudiera iniciar el ejecutable.
En conjunto, una página en Internet abierta, representada por un agente local, podría ejecutar un comando elegido por el atacante en la cuenta que ejecuta AutoGen Studio.
Microsoft describe esto como una investigación, no como una campaña activa, y no informó ninguna explotación en la naturaleza. La prueba de concepto utilizó un agente «Resumen de contenido web» que, cuando se alimenta con una URL del atacante, muestra calc.exe en el escritorio del desarrollador, iniciado por el proceso AutoGen Studio.
Microsoft informó el comportamiento al Centro de respuesta de seguridad de Microsoft y los mantenedores reforzaron la rama principal en la confirmación b047730 (PR #7362). El controlador fijo ya no lee el comando de la URL; Los parámetros se almacenan en el lado del servidor detrás de una ID de sesión única y las ID desconocidas se rechazan. Las rutas MCP ahora pasan por la ruta de autenticación normal. Ese endurecimiento aún no ha llegado a una versión de PyPI.
que hacer
Una simple instalación de pip en autogenstudio le proporciona 0.4.2.2, que no tiene ruta MCP, por lo que no se ve afectado.
Si instaló una versión preliminar, tiene el controlador vulnerable y no tiene una compilación de PyPI parcheada a la que trasladarse. Extraiga de GitHub principal en o después de la confirmación b047730. Esa es la verdadera solución.
Hasta que haya una liberación, separe las piezas que necesita el ataque. No ejecute AutoGen Studio en la misma máquina que un agente de navegación o ejecución de código que toque contenido que no sea de confianza, porque la cadena solo funciona cuando ambos comparten el mismo host local. Si tienen que ejecutarse juntos, aíslelos en contenedores o máquinas virtuales separados y ejecute AutoGen Studio con una cuenta con pocos privilegios.
Los errores de AutoGen Studio están parcheados en la fuente. El patrón no lo es. Microsoft espera la misma forma en otros marcos de agentes: un servicio local con demasiada potencia, una verificación del host local tratada como seguridad y un agente que abre páginas que no son de confianza.
THN lo vio el mes pasado en ChatGPhish, donde los resúmenes de páginas de ChatGPT se convirtieron en un vector de phishing. Microsoft presentó un argumento similar sobre el host local en su investigación Semantic Kernel RCE, rastreado como CVE-2026-26030 y CVE-2026-25592.
Otra verificación de localhost no es suficiente. Autentique el plano de control, mantenga la ejecución del proceso detrás de una lista de permitidos y proporcione al agente una identidad que no sea la propia sesión del desarrollador. Una vez que un agente puede navegar por la web abierta y acceder a servicios locales privilegiados, localhost ya no es un límite de confianza.