Microsoft zufolge handelt es sich nicht um eine aktiv ausgenutzte Kampagne, sondern um Forschungsarbeit; Hinweise auf Ausnutzung in freier Wildbahn habe das Unternehmen nicht gemeldet. Der von Microsoft gezeigte Proof of Concept nutzt einen Agenten zur Zusammenfassung von Webinhalten. Wird ihm eine vom Angreifer kontrollierte URL übergeben, startet auf dem Entwickler-Desktop „calc.exe“, ausgelöst durch den AutoGen-Studio-Prozess.
Die Verpackungsdetails sind dabei entscheidend. Microsoft erklärt, die verwundbare MCP-WebSocket-Oberfläche sei „nie in einer PyPI-Veröffentlichung enthalten“ gewesen. Diese Aussage trifft laut Quelltext auf die stabile Ausgabe 0.4.2.2 zu. The Hacker News hat jedoch die beiden Vorabversionen 0.4.3.dev1 und 0.4.3.dev2 heruntergeladen und geprüft: Dort ist die MCP-WebSocket-Route vorhanden, der Handler übernimmt den auszuführenden Befehl direkt aus der Anfrage und authentifiziert den Aufrufer nicht. Beide Vorabversionen wurden demnach nicht von PyPI zurückgezogen.
Dass eine normale Installation nicht betroffen ist, liegt daran, dass pip Vorabversionen nur mit „–pre“ oder bei fest vorgegebener Versionsangabe installiert. Wer jedoch eine dieser Vorabversionen eingespielt hat, war exponiert. Eine korrigierte PyPI-Version gibt es dafür bislang nicht; der abgesicherte Code liegt laut Quelltext im GitHub-Hauptzweig ab Commit b047730.
AutoJack kombiniert drei Schwachstellen in der MCP-WebSocket-Implementierung. Erstens vertraute der Socket auf „localhost“ – als Schutzmaßnahme gegen normale Browser, die auf eine bösartige Seite geleitet werden. Ein lokal laufender Browsing-Agent ist aber selbst „localhost“. Alles, was er lädt, erbt damit diese Identität und besteht die Prüfung.
Zweitens übersprang die Authentifizierungs-Middleware die MCP-Pfade, weil angenommen wurde, der Handler selbst werde Token prüfen. Das geschah nicht. Dadurch akzeptierte der Socket laut Microsoft nicht authentifizierte Verbindungen unabhängig vom konfigurierten Authentifizierungsmodus.
Drittens übernahm der Endpunkt einen Befehl direkt aus einem Anfrageparameter und führte ihn aus, ohne Einschränkung, welche ausführbare Datei gestartet werden darf. Zusammengenommen konnte so eine Seite aus dem offenen Internet, gerendert durch einen lokalen Agenten, einen vom Angreifer gewählten Befehl unter dem Konto starten, unter dem AutoGen Studio läuft.
Microsoft meldete das Verhalten an das Microsoft Security Response Center. Die Maintainer härteten daraufhin den Hauptzweig in Commit b047730 beziehungsweise PR #7362 ab. Der korrigierte Handler liest den Befehl nicht mehr aus der URL; Parameter werden serverseitig hinter einer einmaligen Sitzungs-ID gespeichert, unbekannte IDs werden abgewiesen. Außerdem laufen MCP-Routen nun durch den normalen Authentifizierungspfad. Diese Änderungen sind laut Quelltext aber noch nicht in einer PyPI-Version erschienen.
Wer „pip install autogenstudio“ ohne Vorabversion installiert hat, erhält weiter 0.4.2.2 ohne MCP-Route und ist damit nicht betroffen. Wer eine Vorabversion installiert hat, soll laut Quelltext GitHub main ab Commit b047730 beziehen. Bis zu einer Veröffentlichung rät Microsoft dazu, AutoGen Studio nicht auf demselben System wie einen Browsing- oder Codeausführungs-Agenten zu betreiben, der mit nicht vertrauenswürdigen Inhalten arbeitet. Wenn beides zusammen laufen muss, nennt der Quelltext getrennte Container oder virtuelle Maschinen sowie ein Konto mit geringen Rechten für AutoGen Studio.
Microsoft betont zudem, dass zwar die AutoGen-Studio-Fehler im Quellcode behoben sind, das zugrunde liegende Muster aber bestehen bleibt: ein lokaler Dienst mit zu weitreichenden Rechten, eine als Sicherheitsgrenze missverstandene „localhost“-Prüfung und ein Agent, der nicht vertrauenswürdige Webseiten öffnet. Auf ähnliche Forschung verweist der Quelltext bei Semantic Kernel, nachverfolgt als CVE-2026-26030 und CVE-2026-25592.