Agentes de IA da Microsoft são explorados para roubar senhas: A ameaça AutoJack
Uma nova vulnerabilidade descoberta pela Microsoft permite que agentes de IA, ao processar conteúdo de sites, executem código malicioso e roubem informações sensíveis dos desenvolvedores. A falha, denominada AutoJack, explora o AutoGen Studio e o protocolo MCP.
MundiX News·25 de junho de 2026·4 min de leitura·👁 1 views
Pesquisadores da Microsoft identificaram uma perigosa cadeia de ataque, apelidada de AutoJack, onde uma página web maliciosa pode induzir um agente de IA a executar programas arbitrários no computador de um desenvolvedor. Essa vulnerabilidade afetava compilações experimentais do AutoGen Studio, uma interface projetada para a criação e teste de agentes baseados no framework AutoGen.
O AutoGen Studio permite a conexão com servidores MCP (Model Context Protocol). O MCP é o elo que conecta os agentes de IA a programas, arquivos, bancos de dados e outras ferramentas externas. Na versão vulnerável, a interface MCP local recebia parâmetros de execução de processos via WebSocket, decodificava dados de URLs e repassava comandos diretamente ao sistema operacional. A ausência de uma lista de programas permitidos significava que o serviço podia executar qualquer programa especificado em nome do desenvolvedor. Para explorar essa falha, um atacante precisava apenas convencer o agente a acessar uma página especialmente preparada. A Microsoft exemplifica isso com um serviço de resumo de sites: o usuário fornece um link, o agente abre a página no navegador e analisa seu conteúdo. O código malicioso poderia ser injetado através do link, de um comentário em um site legítimo ou de instruções ocultas em textos alheios. Após o carregamento da página, um script JavaScript se comunicaria com o servidor local do AutoGen Studio na porta padrão 8081, enviando o comando para execução.
A cadeia de ataque era composta por três falhas distintas. Primeiramente, a verificação das conexões WebSocket confiava em requisições vindas de localhost, mas o agente do navegador operava na mesma máquina, obtendo acesso à interface local. Em segundo lugar, o sistema de autenticação permitia rotas MCP sem a devida verificação de credenciais. Por fim, o AutoGen Studio aceitava parâmetros de linha de comando diretamente da URL, sem impor restrições sobre quais arquivos executáveis poderiam ser acionados. Essa combinação permitia que um agente de IA, ao interagir com um site comprometido, inadvertidamente executasse um exploit no sistema do usuário.
A exploração não exigia um clique adicional ou confirmação por parte do usuário após o agente acessar a página maliciosa. O programa era executado com os mesmos privilégios da conta de usuário sob a qual o AutoGen Studio estava rodando. As consequências variavam de acordo com as permissões disponíveis: em um laptop de trabalho, um atacante poderia obter acesso a arquivos confidenciais, chaves de API, tokens de autenticação e serviços internos da rede corporativa. A Microsoft enfatiza que, embora a interface MCP vulnerável não tenha sido incluída nos pacotes publicados do AutoGen Studio – usuários que instalaram via pip install autogenstudio na versão atual (0.4.2.2) não estariam expostos –, o risco era real para desenvolvedores que compilavam o AutoGen Studio diretamente do repositório principal do GitHub, após a adição do plugin MCP e antes da correção ser implementada.
Os desenvolvedores corrigiram a vulnerabilidade removendo a passagem de parâmetros de execução via URL, vinculando esses parâmetros a sessões de servidor e implementando a verificação de autenticação para rotas MCP. A Microsoft recomenda que os usuários utilizem compilações posteriores ao commit b047730, executem aplicações de agentes experimentais em ambientes isolados como contêineres, máquinas virtuais ou contas de usuário com privilégios restritos. Além disso, a empresa alerta que serviços locais com acesso a código e arquivos não devem ser considerados seguros apenas por estarem acessíveis via localhost.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da Microsoft identificaram uma perigosa cadeia de ataque, apelidada de AutoJack, onde uma página web maliciosa pode induzir um agente de IA a executar programas arbitrários no computador de um desenvolvedor. Essa vulnerabilidade afetava compilações experimentais do AutoGen Studio, uma interface projetada para a criação e teste de agentes baseados no framework AutoGen.
O AutoGen Studio permite a conexão com servidores MCP (Model Context Protocol). O MCP é o elo que conecta os agentes de IA a programas, arquivos, bancos de dados e outras ferramentas externas. Na versão vulnerável, a interface MCP local recebia parâmetros de execução de processos via WebSocket, decodificava dados de URLs e repassava comandos diretamente ao sistema operacional. A ausência de uma lista de programas permitidos significava que o serviço podia executar qualquer programa especificado em nome do desenvolvedor. Para explorar essa falha, um atacante precisava apenas convencer o agente a acessar uma página especialmente preparada. A Microsoft exemplifica isso com um serviço de resumo de sites: o usuário fornece um link, o agente abre a página no navegador e analisa seu conteúdo. O código malicioso poderia ser injetado através do link, de um comentário em um site legítimo ou de instruções ocultas em textos alheios. Após o carregamento da página, um script JavaScript se comunicaria com o servidor local do AutoGen Studio na porta padrão 8081, enviando o comando para execução.
A cadeia de ataque era composta por três falhas distintas. Primeiramente, a verificação das conexões WebSocket confiava em requisições vindas de localhost, mas o agente do navegador operava na mesma máquina, obtendo acesso à interface local. Em segundo lugar, o sistema de autenticação permitia rotas MCP sem a devida verificação de credenciais. Por fim, o AutoGen Studio aceitava parâmetros de linha de comando diretamente da URL, sem impor restrições sobre quais arquivos executáveis poderiam ser acionados. Essa combinação permitia que um agente de IA, ao interagir com um site comprometido, inadvertidamente executasse um exploit no sistema do usuário.
A exploração não exigia um clique adicional ou confirmação por parte do usuário após o agente acessar a página maliciosa. O programa era executado com os mesmos privilégios da conta de usuário sob a qual o AutoGen Studio estava rodando. As consequências variavam de acordo com as permissões disponíveis: em um laptop de trabalho, um atacante poderia obter acesso a arquivos confidenciais, chaves de API, tokens de autenticação e serviços internos da rede corporativa. A Microsoft enfatiza que, embora a interface MCP vulnerável não tenha sido incluída nos pacotes publicados do AutoGen Studio – usuários que instalaram via pip install autogenstudio na versão atual (0.4.2.2) não estariam expostos –, o risco era real para desenvolvedores que compilavam o AutoGen Studio diretamente do repositório principal do GitHub, após a adição do plugin MCP e antes da correção ser implementada.
Os desenvolvedores corrigiram a vulnerabilidade removendo a passagem de parâmetros de execução via URL, vinculando esses parâmetros a sessões de servidor e implementando a verificação de autenticação para rotas MCP. A Microsoft recomenda que os usuários utilizem compilações posteriores ao commit b047730, executem aplicações de agentes experimentais em ambientes isolados como contêineres, máquinas virtuais ou contas de usuário com privilégios restritos. Além disso, a empresa alerta que serviços locais com acesso a código e arquivos não devem ser considerados seguros apenas por estarem acessíveis via localhost.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
