一句话看懂:微软安全团队披露了 AutoGen Studio 中的三个安全漏洞组合(AutoJack),攻击者可诱导 AI 代理访问恶意网站,从而远程执行任意代码(RCE)。该漏洞发现于开发版本,已在正式发布前修复,但揭示了 AI 代理本地控制平面的安全隐患。
事件核心:发生了什么
微软 Defender 安全研究团队公开了名为“AutoJack”的攻击链,针对的是微软研究院开发的 AI 代理开发工具 AutoGen Studio。该漏洞链由三个单独影响有限的缺陷组成:首先,本地控制通道仅接受 localhost 连接,但 AI 代理的浏览器也被视为 localhost;其次,该通道跳过了登录验证;最后,通道可执行任意程序。三者结合,使得攻击者可以通过让 AI 代理访问一个恶意网站,诱使代理下载并运行后门或信息窃取类恶意负载。微软表示,该问题仅存在于 GitHub 早期开发版本中,正式发布的版本从未携带此漏洞,相关团队已修复。
为什么重要
AutoJack 案例凸显了 AI 代理开发中的一个结构性风险:当代理既被允许浏览不受信网页,又能与特权本地服务通信时,localhost 信任边界即成为攻击面。这不仅是微软一个产品的问题,而是许多开发者工具在设计 API 和本地控制平面时普遍存在的信任假设——即 localhost 流量天然安全。AutoJack 表明,如果不对控制平面进行认证、授权和隔离,AI 代理本身就可能变成攻击者的“最后一公里”投送工具。该发现对 AI 代理的开源生态、企业内嵌开发平台的安全基线,以及云服务商对代理托管服务的隔离策略,均具有警示意义。
对用户/开发者/创作者的影响
对于直接使用 AutoGen Studio 的用户,由于漏洞在正式发布前已修复,实际风险较低,但建议确认使用的是最新正式版本。对于 AI 代理开发者和企业团队,AutoJack 提供了明确的安全设计参考:本地控制通道不能仅依赖回环地址(127.0.0.1)作为认证手段,必须引入显式的登录验证、权限隔离和最小权限原则。此外,训练或调试代理时,应限制其浏览外部不可信网站的权限,或使用沙箱环境隔离浏览器进程。对于 AI 代理平台运营方,需要审视其代理网络栈中是否也存在类似的 localhost 信任边界漏洞,并及时对内部 API 实施认证。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
首先,微软是否会基于这次发现,为 AutoGen Studio 或更广泛的 AI 开发框架(如 Semantic Kernel)提供安全设计指南或默认加强的认证模块。其次,其他 AI 代理框架(如 LangChain、AutoGPT 等)是否会进行自我审计,排查是否存在类似 localhost 信任边界问题。第三,监管层面,当 AI 代理被用于企业内部自动化任务后,一旦出现类似漏洞,可能触发的数据保护合规责任将更加明确——开发者需要建立代理行为审计日志和异常阻断机制。
来源:TechRadar
