Um Site, Zero Cliques: Como um Agente de IA se Tornou Ferramenta de Ataque, Segundo a Microsoft
A Microsoft descobriu uma falha crítica no AutoGen Studio que permitia a um agente de IA, ao visitar um site malicioso, executar comandos remotamente em máquinas de desenvolvedores. A vulnerabilidade, denominada AutoJack, combinava múltiplas fraquezas para contornar a segurança.
MundiX News·22 de junho de 2026·6 min de leitura·👁 5 views
Uma única página web maliciosa pode transformar um agente de Inteligência Artificial (IA) em um vetor de ataque para o computador de um desenvolvedor. Pesquisadores da Microsoft Defender Security Research descreveram a cadeia de exploração AutoJack, que permitia a execução remota de comandos em máquinas com AutoGen Studio, caso o agente acessasse uma página controlada por um atacante. Essa descoberta ressalta os riscos emergentes na integração de IA em fluxos de trabalho de desenvolvimento.
A vulnerabilidade afetava o AutoGen Studio, uma interface projetada para que desenvolvedores criem rapidamente protótipos de sistemas multiagentes baseados em AutoGen. O cenário de ataque era perigoso não por uma única falha, mas pela combinação sinérgica de várias fraquezas. Inicialmente, o agente tinha a capacidade de navegar por páginas externas. Em paralelo, o serviço local do AutoGen Studio confiava indevidamente em conexões provenientes de localhost e 127.0.0.1. Embora um navegador web comum pudesse mitigar esse risco, o agente de IA operava diretamente na máquina do desenvolvedor, concedendo à página do atacante a capacidade de interagir com a interface de controle local.
A segunda camada da exploração explorava a forma como o acesso era validado. No AutoGen Studio, os caminhos /api/mcp/* e /api/ws/* contornavam uma verificação de autenticação intermediária, sob a premissa de que tais conexões seriam validadas pelo próprio manipulador. No entanto, o MCP WebSocket não passava por essa verificação, permitindo que conexões fossem aceitas sem um token, mesmo que o restante da aplicação estivesse configurado com autorização.
A terceira e mais perigosa fraqueza residia na forma como os parâmetros eram tratados. Um endpoint específico aceitava o parâmetro server_params diretamente da URL. Este parâmetro era decodificado de base64, transformado em configurações StdioServerParams e, em seguida, passado como um comando para iniciar o servidor MCP. Crucialmente, não havia uma lista restritiva de arquivos executáveis permitidos. Isso significava que, em vez do servidor MCP legítimo, um atacante poderia fornecer calc.exe, PowerShell ou bash com argumentos maliciosos, efetivamente executando código arbitrário no sistema.
Para demonstrar o ataque, um desenvolvedor executava o AutoGen Studio em uma porta local (por exemplo, 8081) e solicitava ao agente que resumisse o conteúdo de uma página. O agente visitava o site do atacante, onde um script embutido estabelecia uma conexão WebSocket com o AutoGen Studio local. Parâmetros pré-preparados eram enviados, levando a aplicação a executar um comando em nome do usuário. Nenhuma ação adicional por parte da vítima era necessária, tornando o ataque altamente eficaz e furtivo.
A Microsoft notificou o Microsoft Security Response Center sobre a vulnerabilidade. Em resposta, os desenvolvedores aprimoraram as proteções na branch principal do AutoGen. O manipulador WebSocket agora não aceita mais server_params diretamente da URL. Os parâmetros são agora associados no lado do servidor através de uma solicitação separada e um identificador de sessão. Adicionalmente, as rotas MCP agora passam pela mesma verificação de autenticação que as demais requisições.
A Microsoft ressalta que o código vulnerável não foi incluído na versão do AutoGen Studio distribuída através do Python Package Index (PyPI). Usuários que instalaram o AutoGen Studio via pip não estão expostos a esta cadeia específica de exploração. O risco se concentrava em desenvolvedores que compilaram o AutoGen Studio a partir da branch principal do GitHub em um período específico, entre a introdução do suporte a MCP e a correção da vulnerabilidade.
Este incidente serve como um alerta para a comunidade de desenvolvimento de IA. Quando um agente de IA tem a capacidade de acessar sites não verificados e, simultaneamente, interagir com serviços locais privilegiados, o conceito de localhost como uma fronteira de segurança confiável é comprometido. Recomendações para desenvolvedores de sistemas de IA incluem a exigência de autenticação para todas as interfaces de controle, a limitação da capacidade de executar comandos externos, o isolamento dos agentes da conta do desenvolvedor e a execução de protótipos em ambientes isolados como contêineres, máquinas virtuais ou sandboxes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma única página web maliciosa pode transformar um agente de Inteligência Artificial (IA) em um vetor de ataque para o computador de um desenvolvedor. Pesquisadores da Microsoft Defender Security Research descreveram a cadeia de exploração AutoJack, que permitia a execução remota de comandos em máquinas com AutoGen Studio, caso o agente acessasse uma página controlada por um atacante. Essa descoberta ressalta os riscos emergentes na integração de IA em fluxos de trabalho de desenvolvimento.
A vulnerabilidade afetava o AutoGen Studio, uma interface projetada para que desenvolvedores criem rapidamente protótipos de sistemas multiagentes baseados em AutoGen. O cenário de ataque era perigoso não por uma única falha, mas pela combinação sinérgica de várias fraquezas. Inicialmente, o agente tinha a capacidade de navegar por páginas externas. Em paralelo, o serviço local do AutoGen Studio confiava indevidamente em conexões provenientes de localhost e 127.0.0.1. Embora um navegador web comum pudesse mitigar esse risco, o agente de IA operava diretamente na máquina do desenvolvedor, concedendo à página do atacante a capacidade de interagir com a interface de controle local.
A segunda camada da exploração explorava a forma como o acesso era validado. No AutoGen Studio, os caminhos /api/mcp/* e /api/ws/* contornavam uma verificação de autenticação intermediária, sob a premissa de que tais conexões seriam validadas pelo próprio manipulador. No entanto, o MCP WebSocket não passava por essa verificação, permitindo que conexões fossem aceitas sem um token, mesmo que o restante da aplicação estivesse configurado com autorização.
A terceira e mais perigosa fraqueza residia na forma como os parâmetros eram tratados. Um endpoint específico aceitava o parâmetro server_params diretamente da URL. Este parâmetro era decodificado de base64, transformado em configurações StdioServerParams e, em seguida, passado como um comando para iniciar o servidor MCP. Crucialmente, não havia uma lista restritiva de arquivos executáveis permitidos. Isso significava que, em vez do servidor MCP legítimo, um atacante poderia fornecer calc.exe, PowerShell ou bash com argumentos maliciosos, efetivamente executando código arbitrário no sistema.
Para demonstrar o ataque, um desenvolvedor executava o AutoGen Studio em uma porta local (por exemplo, 8081) e solicitava ao agente que resumisse o conteúdo de uma página. O agente visitava o site do atacante, onde um script embutido estabelecia uma conexão WebSocket com o AutoGen Studio local. Parâmetros pré-preparados eram enviados, levando a aplicação a executar um comando em nome do usuário. Nenhuma ação adicional por parte da vítima era necessária, tornando o ataque altamente eficaz e furtivo.
A Microsoft notificou o Microsoft Security Response Center sobre a vulnerabilidade. Em resposta, os desenvolvedores aprimoraram as proteções na branch principal do AutoGen. O manipulador WebSocket agora não aceita mais server_params diretamente da URL. Os parâmetros são agora associados no lado do servidor através de uma solicitação separada e um identificador de sessão. Adicionalmente, as rotas MCP agora passam pela mesma verificação de autenticação que as demais requisições.
A Microsoft ressalta que o código vulnerável não foi incluído na versão do AutoGen Studio distribuída através do Python Package Index (PyPI). Usuários que instalaram o AutoGen Studio via pip não estão expostos a esta cadeia específica de exploração. O risco se concentrava em desenvolvedores que compilaram o AutoGen Studio a partir da branch principal do GitHub em um período específico, entre a introdução do suporte a MCP e a correção da vulnerabilidade.
Este incidente serve como um alerta para a comunidade de desenvolvimento de IA. Quando um agente de IA tem a capacidade de acessar sites não verificados e, simultaneamente, interagir com serviços locais privilegiados, o conceito de localhost como uma fronteira de segurança confiável é comprometido. Recomendações para desenvolvedores de sistemas de IA incluem a exigência de autenticação para todas as interfaces de controle, a limitação da capacidade de executar comandos externos, o isolamento dos agentes da conta do desenvolvedor e a execução de protótipos em ambientes isolados como contêineres, máquinas virtuais ou sandboxes.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
