Microsoft schließt AutoGen-Studio-Lücke mit möglicher Codeausführung

Zusammenfassung

Microsoft hat eine Schwachstellenkette mit dem Namen AutoJack in AutoGen Studio behoben, der grafischen Oberfläche seines Open-Source-Frameworks AutoGen zum Prototyping von KI-Agenten. Nach Angaben des Unternehmens konnte ein Angreifer einen Agenten dazu bringen, beliebige Befehle auf dem Host-System auszuführen, wenn ein Entwickler lediglich eine präparierte Webseite besuchte. AutoGen erlaubt den Bau von Multi-Agenten-Systemen, deren Agenten zusammenarbeiten, Werkzeuge nutzen, im Web surfen, Code ausführen, mit APIs interagieren und externe Systeme anbinden. Microsoft betont allerdings, dass die Auswirkungen begrenzt waren, weil das Problem noch während der Entwicklung beseitigt wurde. Der betroffene Code sei nie in einem veröffentlichten Paket ausgeliefert worden. Betroffen gewesen seien nur Entwickler, die AutoGen Studio in einem begrenzten Zeitfenster direkt aus dem Hauptzweig auf GitHub gebaut hätten — zwischen der Einführung des MCP-Plugins und dem späteren Härtungs-Commit.

Im Kern beschreibt Microsoft AutoJack als Angriffskette aus drei separaten Schwächen in AutoGen Studio. In dem vom Unternehmen geschilderten realistischen Szenario führt bösartiges JavaScript auf einer Webseite, die vom KI-Agenten eines Entwicklers besucht wird, Code im Browser-Kontext aus und öffnet eine WebSocket-Verbindung zum lokalen MCP-Endpunkt von AutoGen Studio.

Über diese Verbindung erhält AutoGen Studio demnach Anweisungen, einen vom Angreifer gewählten Befehl mit den Rechten des Entwicklerkontos zu starten. Um die Wirkung zu demonstrieren, zeigte Microsoft das Starten des Windows-Taschenrechners. Die Schwachstellenkette ermöglichte damit die Ausführung beliebiger Kommandos auf dem Host-System.

Microsoft verweist zugleich darauf, dass Nutzer der über den Python Package Index verteilten Versionen nicht betroffen waren. Das aktuelle Paket autogenstudio 0.4.2.2 enthalte die AutoJack-Schwächen nicht. Nach Angaben des Unternehmens wurde die betroffene Codebasis vor jeder Veröffentlichung über PyPI bereinigt, sodass sie nie in einem publizierten Paket enthalten war.

Exponiert waren laut Microsoft nur Entwickler, die AutoGen in einem begrenzten Zeitraum direkt von GitHub bauten, und zwar vor Commit b047730. Das Projekt ist weit verbreitet: Auf GitHub kommt AutoGen auf mehr als 59.000 Sterne und fast 9.000 Forks.

Für den Betrieb von AutoGen Studio gibt Microsoft konkrete Hinweise. Nutzer sollen die Software “ausschließlich als Entwicklerprototyp in einer isolierten Umgebung” einsetzen, die nicht mit dem Internet verbunden ist. Außerdem betont der Maintainer, dass das Projekt nicht auf einem System mit nicht vertrauenswürdigen Inhalten laufen sollte, wenn ein Agent dort im Web surfen oder beliebigen Code ausführen kann.

Zusätzlich rät Microsoft dazu, AutoGen Studio unter einem Konto mit geringen Rechten in einem abgeschotteten Benutzerprofil oder Container auszuführen. So lasse sich eine mögliche künftige, agentengesteuerte Remotecodeausführung auf ein Entwicklungsprofil begrenzen, statt das regulär genutzte Benutzerkonto zu gefährden.

Microsoft schließt AutoGen-Studio-Lücke mit möglicher Codeausführung

Ähnliche Artikel

Neueste Artikel