Microsoft alerta sobre AutoJack: una página web puede convertir un agente de IA en vía de ejecución remota

Microsoft publicó una investigación de seguridad que apunta a un riesgo emergente en la nueva generación de agentes de inteligencia artificial: cuando un agente puede navegar páginas web y, al mismo tiempo, comunicarse con servicios locales privilegiados, el límite de seguridad de “localhost” deja de ser suficiente.

El equipo Microsoft Defender Security Research llamó a la técnica AutoJack. En la demostración, una página web maliciosa renderizada por un agente con capacidad de navegación podía alcanzar un servicio local de Model Context Protocol, o MCP, y lanzar procesos arbitrarios en la máquina anfitriona. La prueba se hizo sobre AutoGen Studio, la interfaz open source para crear y probar aplicaciones multiagente sobre AutoGen.

Qué encontró Microsoft

Según Microsoft, AutoJack combinaba tres debilidades en la implementación MCP WebSocket de AutoGen Studio. La primera estaba relacionada con una lista de orígenes permitidos diseñada para aceptar conexiones desde localhost. En condiciones normales, eso bloquearía una página externa maliciosa. Pero si el agente local es quien visita o renderiza la página, el código controlado por el atacante puede aprovechar la identidad local del propio agente.

La segunda debilidad estaba en la lógica de autenticación: las rutas MCP WebSocket quedaban fuera de ciertos controles de autenticación bajo la expectativa de que tendrían sus propios mecanismos. La tercera era la más crítica: el endpoint aceptaba parámetros desde la URL y podía pasarlos al mecanismo que lanza servidores MCP, sin una lista estricta de ejecutables permitidos. Encadenadas, esas condiciones permitían que una página maliciosa provocara ejecución de procesos como PowerShell, Bash u otros binarios, según la plataforma.

No fue una falla pública en PyPI, pero sí una advertencia para el ecosistema

Microsoft subrayó que el código afectado existía en builds de desarrollo con soporte MCP y no llegó a una versión publicada en PyPI. Es decir, los usuarios que instalaron AutoGen Studio desde PyPI no estuvieron expuestos a esa cadena específica. La compañía reportó el hallazgo al Microsoft Security Response Center y los mantenedores endurecieron el código en la rama principal, incluyendo cambios para eliminar la inyección de parámetros vía URL, llevar las rutas MCP por flujos normales de autenticación y manejar parámetros del lado del servidor asociados a sesiones.

Aun así, la importancia de AutoJack va más allá de AutoGen Studio. Microsoft presenta el caso como una señal de diseño para todo el ecosistema de agentes: los agentes modernos no solo generan texto; leen archivos, navegan sitios, llaman APIs, ejecutan herramientas y se conectan con servicios locales. Esa utilidad también crea una superficie de ataque nueva.

Por qué importa

El hallazgo llega en un momento en que empresas y desarrolladores están conectando agentes a navegadores, intérpretes de código, terminales, APIs internas y servidores MCP. En ese contexto, una página web ya no es solo contenido pasivo para leer. Si el agente tiene permisos amplios, esa página puede convertirse en una entrada hacia herramientas más sensibles.

La lección práctica es clara: los sistemas de agentes necesitan aislamiento, autenticación fuerte, autorización por herramienta, listas de comandos permitidos, separación entre navegación y ejecución, y monitoreo de procesos locales. Para proyectos empresariales, AutoJack es menos una historia sobre una falla puntual y más una advertencia sobre cómo cambia el modelo de amenazas cuando la IA deja de ser un chatbot y se convierte en operador de software.

CSO Online, que reportó el caso, resumió el problema en términos directos: una página maliciosa renderizada por un agente con navegación web puede alcanzar servicios MCP locales y ejecutar procesos en el host. Microsoft lo plantea como una investigación preventiva, pero el mensaje para equipos de seguridad es inmediato: si un agente puede tocar el navegador y la máquina local, no basta con confiar en que “localhost” está protegido.