An ninh mạng

AutoJack: Lỗ hổng cho phép trang web độc hại chiếm quyền điều khiển AI Agent

Các nhà nghiên cứu Microsoft vừa cảnh báo về AutoJack, một chuỗi khai thác cho phép kẻ tấn công lợi dụng AI Agent để thực thi mã từ xa (RCE) trên máy chủ của người...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
2 0

Các nhà nghiên cứu tại Microsoft vừa công bố chi tiết về một chuỗi khai thác có tên gọi AutoJack. Lỗ hổng này biến các AI browsing agent (tác nhân duyệt web AI) thành công cụ thực thi mã từ xa (RCE) trên máy chủ host mà không cần thông qua xác thực hay tương tác phức tạp từ người dùng.

Table Of Content

Cơ chế tấn công của AutoJack

AutoJack khai thác ba điểm yếu trong giao thức MCP (Model Context Protocol) WebSocket của AutoGen Studio:

  • Tin tưởng sai lầm vào localhost: Hệ thống mặc định tin tưởng các kết nối từ localhost. Tuy nhiên, khi một AI agent duyệt đến trang web độc hại, trang web đó sẽ kế thừa danh tính localhost và vượt qua bước kiểm tra này.
  • Bỏ qua xác thực: Middleware xác thực đã bỏ qua các đường dẫn MCP với giả định rằng trình xử lý sẽ tự xác thực token, nhưng điều này không bao giờ xảy ra.
  • Thực thi lệnh không kiểm soát: Điểm cuối (endpoint) chấp nhận trực tiếp tham số lệnh từ request và thực thi mà không có danh sách cho phép (allowlist) các tệp thực thi hợp lệ.

Kết quả là, chỉ cần lừa được AI agent truy cập vào một URL độc hại, kẻ tấn công có thể thực thi các lệnh tùy ý dưới quyền của tài khoản đang chạy AutoGen Studio.

Phạm vi ảnh hưởng

Lỗ hổng này không ảnh hưởng đến phiên bản ổn định 0.4.2.2 hiện tại trên PyPI. Tuy nhiên, các phiên bản thử nghiệm (pre-release) 0.4.3.dev1 và 0.4.3.dev2 lại chứa mã nguồn dễ bị tấn công này. Mặc dù Microsoft chưa ghi nhận bất kỳ chiến dịch tấn công thực tế nào, đây là lời cảnh báo nghiêm trọng về bảo mật trong các framework AI.

Khuyến nghị bảo mật

Để phòng tránh rủi ro, người dùng cần lưu ý:

  • Cập nhật mã nguồn: Nếu đang sử dụng các phiên bản pre-release, hãy cập nhật ngay lên bản mới nhất từ GitHub (commit b047730 trở về sau).
  • Cô lập môi trường: Không chạy AutoGen Studio trên cùng máy với các agent có khả năng duyệt web hoặc thực thi mã từ các nguồn không tin cậy. Nếu bắt buộc phải chạy cùng nhau, hãy sử dụng container hoặc máy ảo (VM) để cách ly.
  • Nguyên tắc đặc quyền tối thiểu: Luôn chạy các dịch vụ AI dưới tài khoản có quyền hạn thấp nhất.

Các chuyên gia nhấn mạnh rằng việc chỉ dựa vào kiểm tra localhost là không đủ. Các nhà phát triển cần xây dựng cơ chế xác thực cho control plane, áp dụng danh sách cho phép (allowlist) đối với việc thực thi tiến trình và đảm bảo AI agent không có quyền truy cập vào các dịch vụ cục bộ nhạy cảm.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept