Microsoft описала AutoJack — цепочку, в которой untrusted web content влияет на AI-агента, а тот получает доступ к локальному сервису AutoGen Studio через MCP WebSocket. Комбинация доверия к localhost, отсутствующей аутентификации и небезопасной обработки параметров создаёт путь к запуску процессов на хосте.

Новая модель угроз

Классический браузер считает локальную сеть и loopback отдельной зоной. Агент меняет уравнение: он читает внешнюю страницу, интерпретирует инструкции и одновременно умеет обращаться к инструментам с привилегиями пользователя. Prompt injection становится не просто ошибкой ответа, а способом управлять цепочкой действий.

WEBнедоверенный контент формирует намерение
MCPинструмент превращает намерение в действие
HOSTошибка изоляции влияет на ОС

Что должно быть обязательным

  • Аутентификация и авторизация даже для сервисов, слушающих только loopback.
  • Capability-based permissions: агент получает минимальный набор инструментов на конкретную задачу.
  • Явное подтверждение операций, создающих процесс, изменяющих файлы или передающих секреты.
  • Изолированный браузер и runner без доступа к хостовым сокетам и metadata endpoints.
  • Структурированные аргументы и allowlist команд вместо свободного текста.
  • Журнал decision records: входные факты, запрошенное действие, policy decision и результат.
Главный вывод: localhost больше нельзя автоматически считать доверенной зоной, если рядом работает агент, читающий данные из интернета. Граница должна проходить вокруг каждого инструмента и каждого действия.

Как тестировать AI-агента

Security review должен включать indirect prompt injection, DNS rebinding, SSRF к loopback и облачным metadata endpoints, попытки вызвать скрытые инструменты, подмену аргументов и обход approval gate. Отдельно проверяется kill switch: он обязан останавливать уже запущенные задачи, а не только запрещать новые.

Первоисточник: Microsoft Security — AutoJack. Анализ и рекомендации сформулированы редакцией Virusologia.