AutoJack 공격: 웹 페이지 하나로 AI 에이전트를 하이재킹하여 호스트 코드 실행 가능
요약
Microsoft 연구원들이 AutoGen Studio의 프리릴리스 빌드에서 발견된 'AutoJack' 취약점을 발표했습니다. 악성 웹 페이지를 통해 AI 에이전트가 로컬 MCP 서비스를 악용하여 호스트 머신에서 임의의 코드를 실행할 수 있는 위험을 경고합니다.
핵심 포인트
- AutoJack은 AI 에이전트가 악성 웹 페이지 방문 시 발생하는 익스플로잇 체인입니다.
- 취약점은 AutoGen Studio의 특정 프리릴리스 버전(0.4.3.dev1, 0.4.3.dev2)에 존재합니다.
- 에이전트가 'localhost'에 대한 내재된 신뢰를 악용하여 인증 미들웨어를 우회합니다.
- 강력한 인증 및 명령 허용 목록(allowlisting) 도입이 권고됩니다.
Microsoft 연구원들이 AutoGen Studio의 프리릴리스(pre-release) 빌드에 영향을 미치는 'AutoJack'이라는 이름의 심각한 익스플로잇 체인(exploit chain)을 발견했습니다. 이 취약점은 AI 브라우징 에이전트가 악성 웹 페이지를 방문할 때, 권한이 부여된 로컬 Model Context Protocol (MCP) WebSocket 서비스를 악용하여 호스트 머신에서 임의의 코드를 실행할 수 있게 합니다. 이는 머신에서 실행 중인 에이전트가 'localhost'로 취급되어, 내재된 신뢰를 상속받고 잘못 구성된 인증 미들웨어(authentication middleware)를 우회하기 때문에 보안 경계를 무너뜨립니다.
이 결함은 인증되지 않은 MCP 핸들러를 포함하고 있던 AutoGen Studio 버전 0.4.3.dev1 및 0.4.3.dev2에 특이적으로 나타납니다. 안정적인 PyPI 릴리스(0.4.2.2)는 영향을 받지 않지만, 개발 빌드 사용자들은 GitHub 리포지토리(commit b047730)에서 최신 보안 강화 패치를 가져올 것을 권고받습니다. Microsoft는 AI 에이전트가 웹을 탐색하고 로컬 서비스에 접근하는 자율성을 더 많이 얻게 됨에 따라, 전통적인 'localhost' 신뢰 경계는 강력한 인증 및 명령 허용 목록(command allowlisting)으로 대체되어야 한다고 강조합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기