详细内容或原文请订阅后点击阅览
一个站点,零点击 - 而且计算机已经是别人的了。微软发现了一个漏洞,可将人工智能代理变成黑客工具
Microsoft 在 AutoGen Studio 中发现了什么以及为什么它关系到每个 AI 开发人员。
来源:安全实验室新闻频道一个站点,零点击 - 而且计算机已经是别人的了。微软发现了一个漏洞,可将人工智能代理变成黑客工具
Microsoft 在 AutoGen Studio 中发现了什么以及为什么它关系到每个 AI 开发人员。
一个恶意站点可以将 AI 代理变成攻击开发人员计算机的渠道。 Microsoft Defender 安全研究专家描述了 AutoJack 链,如果代理打开了攻击者的页面,则可以在运行 AutoGen Studio 的计算机上远程执行命令。
该问题影响了 AutoGen Studio,开发人员可以在该界面中基于 AutoGen 快速构建多代理系统原型。这个剧本之所以危险,不是因为一个错误,而是因为几个弱点相互结合。代理可以查看外部页面,并且本地 AutoGen Studio 服务信任从 localhost 和 127.0.0.1 地址连接的页面。在普通浏览器中,这种保护会切断别人的网站,但AI代理本身是在开发者的机器上工作的,因此攻击者的页面能够访问本地控制界面。
链的第二部分与如何验证访问有关。在 AutoGen Studio 中,路径 /api/mcp/* 和 /api/ws/* 绕过了常见的中间身份验证,因为处理程序本身需要验证此类连接。没有人像这样测试过 MCP WebSocket。因此,即使应用程序的其余部分在启用授权的情况下运行,连接也会在没有令牌的情况下被接受。
第三个弱点被证明是最危险的。端点从地址栏中获取server_params参数,从base64对其进行解码,将其转换为StdioServerParams设置,并将其作为命令传递以启动MCP服务器。没有可执行文件的限制性列表,因此您可以传递带有必要参数的 calc.exe、PowerShell 或 bash,而不是合法的 MCP 服务器。