Một chuỗi khai thác nghiêm trọng được đặt tên là AutoJack đã xuất hiện, cho phép một trang web độc hại duy nhất chiếm quyền điều khiển tác nhân duyệt web Microsoft AutoGen Studio và thực thi mã tùy ý trên máy chủ mà không cần bất kỳ tương tác nào từ người dùng ngoài việc gửi một URL. Lỗ hổng này là một mối đe dọa đáng kể cho các nhà phát triển sử dụng AI agent trong môi trường làm việc.
Chi tiết về Chuỗi Khai thác AutoJack
AutoJack là một chuỗi khai thác bao gồm ba lỗ hổng nhắm vào AutoGen Studio, giao diện người dùng tạo mẫu mã nguồn mở của Microsoft Research dành cho các hệ thống AI đa tác nhân. Kỹ thuật này vũ khí hóa khả năng duyệt web tích hợp của tác nhân để vượt qua ranh giới tin cậy của localhost, biến tác nhân AI thành một phương tiện vô tình để thực thi mã từ xa (RCE).
Ba Lỗ hổng Tích hợp
AutoJack kết hợp ba điểm yếu độc lập trong bề mặt WebSocket của Giao thức Ngữ cảnh Mô hình (MCP) của AutoGen Studio. Các lỗ hổng này cho phép kẻ tấn công lợi dụng cách tác nhân tương tác với các dịch vụ cục bộ.
Dòng chảy đầu cuối của cuộc tấn công khá đơn giản. Một nhà phát triển chạy AutoGen Studio trên cổng localhost:8081 cùng với một tác nhân duyệt web, ví dụ như một công cụ tóm tắt web được xây dựng bằng MultimodalWebSurfer.
Kẻ tấn công sau đó sẽ đặt một trang độc hại hoặc lừa người dùng gửi một URL do kẻ tấn công kiểm soát. Trình duyệt không giao diện (headless browser) sẽ điều hướng đến trang này. JavaScript của trang sẽ mở một kết nối WebSocket tới địa chỉ:
ws://localhost:8081/api/mcp/ws/?server_params= Do tác nhân duyệt web chạy cục bộ, việc kiểm tra nguồn gốc (origin check) sẽ vượt qua. Hơn nữa, vì lớp middleware xác thực bỏ qua các yêu cầu tới /api/mcp/*, nên không yêu cầu token xác thực.
AutoGen Studio sau đó giải mã payload và khởi tạo lệnh do kẻ tấn công chỉ định dưới quyền của nhà phát triển. Trong các thử nghiệm chứng minh khái niệm, chương trình calc.exe đã được khởi chạy trên máy tính của nhà phát triển trong vòng vài giây sau khi tác nhân hiển thị trang độc hại. Việc này được khởi tạo bởi chính tiến trình AutoGen Studio, không phải bởi trình duyệt.
Tác động và Rủi ro Bảo mật
Chuỗi khai thác AutoJack cho thấy một mô hình rủi ro đáng lo ngại đang phát triển trên các framework tác nhân AI. Vấn đề này phát sinh khi một tác nhân có khả năng duyệt nội dung không đáng tin cậy và đồng thời có khả năng giao tiếp với các dịch vụ cục bộ có đặc quyền.
Trong trường hợp này, môi trường cục bộ không còn có thể được coi là một ranh giới an toàn. Tác động trực tiếp là khả năng chiếm quyền điều khiển hoàn toàn máy tính của nhà phát triển, dẫn đến các hoạt động độc hại như đánh cắp dữ liệu, cài đặt mã độc hoặc thực hiện các cuộc tấn công sâu hơn vào mạng nội bộ.
Ảnh hưởng Hệ thống
Các hệ thống bị ảnh hưởng bao gồm bất kỳ máy nào đang chạy AutoGen Studio với một tác nhân có khả năng duyệt web, đặc biệt là khi tác nhân này có quyền truy cập vào các dịch vụ cục bộ thông qua giao thức MCP. Mức độ nghiêm trọng của lỗ hổng này được đánh giá là cao do khả năng thực thi mã từ xa không tương tác.
Khắc phục và Phòng ngừa
Các nhà phát triển của Microsoft đã ghi nhận phát hiện này và đã vá các lỗ hổng trong nhánh chính của dự án. Các thay đổi này đã có trên nhánh chính kể từ commit b047730 (phiên bản 0.7.2).
Cập nhật Bản vá
Các nhà phát triển được khuyến cáo nên cập nhật lên phiên bản mới nhất của AutoGen Studio. Điều quan trọng cần lưu ý là gói PyPI được xuất bản (autogenstudio 0.4.2.2) được xác nhận không chứa tệp định tuyến mcp.py hoặc tham chiếu StdioServerParams, cho thấy các phiên bản được cài đặt qua pip có thể đã an toàn hơn.
Các thay đổi để vá các lỗ hổng này bao gồm việc củng cố bề mặt WebSocket của MCP. Các nhà phát triển có thể tham khảo chi tiết các bản vá trên kho lưu trữ GitHub của dự án.
Các Biện pháp Phòng ngừa Rộng hơn
Để phòng thủ chống lại các cuộc tấn công kiểu AutoJack nói chung, các biện pháp sau đây là cần thiết:
- Xác thực Control-Plane Nhất quán: Đảm bảo tất cả các kênh giao tiếp giữa các thành phần của tác nhân, đặc biệt là những kênh có thể tương tác với các dịch vụ cục bộ, đều được xác thực mạnh mẽ.
- Thực thi Danh sách cho phép Hành động Nghiêm ngặt: Chỉ cho phép các hành động đã biết và được phê duyệt, hạn chế khả năng tác nhân thực thi các lệnh tùy ý.
- Đảm bảo Cô lập Danh tính: Duy trì sự phân tách rõ ràng giữa quyền của người dùng chạy tác nhân và các dịch vụ mà tác nhân có thể truy cập.
Việc áp dụng các biện pháp này là rất quan trọng để duy trì an toàn thông tin trong bối cảnh các framework AI ngày càng phức tạp. Lỗ hổng AutoJack nhấn mạnh sự cần thiết phải xem xét kỹ lưỡng mô hình bảo mật khi tích hợp khả năng duyệt web hoặc tương tác mạng vào các tác nhân AI.
Thông tin chi tiết về các lỗ hổng và cách khắc phục có thể được tìm thấy trong các thông báo bảo mật chính thức từ Microsoft và các nguồn tin tức bảo mật uy tín. Một nguồn tham khảo hữu ích về các giao thức và máy chủ là Model Context Protocol (MCP) Servers.
