AutoJack: una web maliciosa podía ejecutar código en AutoGen Studio a través de su servidor MCP local
Resumen rápido
El equipo de investigación de Microsoft Defender ha revelado AutoJack, una cadena de tres fallos que permitía a una página web no confiable ejecutar código en el host de un usuario de AutoGen Studio abusando de su servidor MCP escuchando en localhost.
El equipo de investigación de Microsoft Defender ha divulgado AutoJack, una cadena de vulnerabilidades en AutoGen Studio —la interfaz de desarrollo de agentes de IA del framework AutoGen— que permitía a una página web no confiable ejecutar código en el equipo de la víctima.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| Nombre | AutoJack |
| Producto | AutoGen Studio (framework AutoGen) |
| Vector | Web maliciosa → servidor MCP en localhost |
| Resultado | Ejecución de código en el host |
| Eslabones | 3 (bypass de origen + falta de auth + manejo inseguro de parámetros) |
| Divulgado por | Microsoft (18 jun 2026) |
| Estado | Endurecido (commit del lado servidor) |
La cadena de tres eslabones
AutoJack encadena tres debilidades en torno al servidor MCP (Model Context Protocol) que AutoGen Studio levanta en localhost:
- Bypass de la allowlist de origen — el control que debía limitar qué orígenes podían conectarse era evadible.
- Falta de autenticación en el WebSocket del servidor MCP — cualquiera que alcanzara el socket podía operar.
- Manejo inseguro de parámetros — permitía influir en la ejecución del lado servidor.
Combinados, el JavaScript de una web abierta en el navegador de la víctima podía conectarse al servidor MCP local vía WebSocket y lanzar un proceso en el host. El único requisito: que el usuario visitara una página maliciosa mientras AutoGen Studio estaba en ejecución.
El patrón de fondo: servicios locales "de confianza"
AutoJack es un ejemplo de libro de un riesgo creciente con las herramientas de IA de escritorio: servicios que escuchan en localhost asumiendo que "local = confiable". El navegador, sin embargo, ejecuta código de terceros que también puede alcanzar 127.0.0.1. Sin autenticación ni verificación estricta de origen, ese servicio se convierte en un puente desde la web abierta hasta el sistema operativo —una clase de fallo que ya hemos visto en otras integraciones de IA y herramientas de desarrollo—.
Alcance y limitaciones
- Microsoft indica que el paquete de PyPI no quedaba expuesto por defecto en la configuración habitual.
- La explotación requiere que AutoGen Studio esté en ejecución con el servidor MCP activo mientras la víctima navega.
- El proyecto endureció el componente (commit con enlace de parámetros del lado servidor y uso de UUID) para cerrar la cadena.
Cadena de ataque (ATT&CK)
- T1190 — Bypass de la allowlist de origen del endpoint local.
- T1559 — Comunicación entre procesos vía WebSocket sin autenticar.
- T1059 / T1203 — Ejecución de un proceso en el host a través del MCP.
Indicadores y caza
- Conexiones WebSocket de origen no confiable a servicios MCP escuchando en localhost.
- Procesos del sistema lanzados por herramientas de agentes de IA (AutoGen y similares).
- Desviaciones del comportamiento esperado de los agentes (spawning de shells/intérpretes).
Mitigación y respuesta
- Actualizar AutoGen Studio a la versión que incorpora el endurecimiento del MCP.
- No ejecutar herramientas de agentes de IA con servidores locales abiertos mientras se navega por sitios no confiables.
- Aislar estas herramientas (usuarios dedicados, contenedores) y restringir su acceso de red.
- Aplicar autenticación y verificación de origen estricta a cualquier servicio que escuche en localhost.
Cobertura en DefensOps
El auge del Model Context Protocol y de los agentes de IA introduce la IPC local como nueva superficie de ataque. DefensOps vigila estos puentes: conexiones de origen sospechoso a servicios locales (T1559), procesos del sistema lanzados por herramientas de IA (T1059) y bypass de controles de origen en endpoints locales (T1190), desde el plan Professional.
Fuentes
Divulgación de Microsoft Security; The Hacker News; TechRadar; CSO Online.
Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1190, T1059, T1203, T1559
- Conexión WebSocket de origen no confiable a servicio MCP local · T1559 — Inter-Process Communication · regla 111830 · plan Professional
- Proceso host lanzado desde herramienta de agentes de IA · T1059 — Command and Scripting Interpreter · regla 111836 · plan Professional
- Bypass de allowlist de origen en endpoint local · T1190 — Exploit Public-Facing Application · regla 111841 · plan Enterprise
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.