عالجت شركة Microsoft سلسلة ثغرات أمنية في AutoGen Studio، وهي الواجهة الرسومية المخصصة لبناء النماذج الأولية لوكلاء الذكاء الاصطناعي ضمن إطار عمل AutoGen. وجاء هذا الإصلاح بعد أن كشفت أبحاث أمنية أن هذه السلسلة قد تتيح تنفيذ أوامر برمجية على جهاز المطور، بمجرد زيارة الوكيل الذكي لصفحة ويب خبيثة.
وتعرف هذه السلسلة باسم AutoJack، وتعتمد في استغلالها على طريقة تعامل AutoGen Studio مع اتصال WebSocket المحلي الخاص ببروتوكول سياق النموذج (MCP). ووفقاً للتفاصيل التقنية المنشورة، يمكن لمحتوى ويب غير موثوق، في حال عرضه بواسطة وكيل ذكاء اصطناعي يمتلك قدرات تصفح الإنترنت، أن يتصل بالخدمة المحلية العاملة على جهاز المطور، ومن ثم تمرير معلمات تؤدي إلى تشغيل أوامر أو عمليات برمجية يحددها المهاجم.
ثلاث نقاط ضعف في سلسلة واحدة
تتكون السلسلة من ثلاث نقاط ضعف مترابطة؛ تكمن الأولى في أن نقطة اتصال MCP WebSocket كانت تثق تلقائياً بالطلبات القادمة من المضيف المحلي (localhost أو 127.0.0.1)، وهو افتراض أمني يصبح ضعيفاً عندما يكون وكيل الذكاء الاصطناعي نفسه قادراً على تصفح مواقع خارجية وتشغيل كود JavaScript على الجهاز المحلي.
أما نقطة الضعف الثانية، فتمثلت في استثناء مسارات /api/mcp/* من عمليات التحقق والمصادقة في البرمجية الوسيطة للأمان، دون أن تطبق نقطة اتصال WebSocket آلية تحقق مستقلة. وتأتي النقطة الثالثة في قبول المعلمة server_params مباشرة من عنوان الاتصال، وفك ترميزها وتمريرها إلى كود برمجي قادر على إطلاق عمليات تشغيلية، بما يشمل أوامر PowerShell أو Bash أو ملفات تنفيذية.
وفي سيناريو عملي للهجوم، يكفي أن يوجه المهاجم وكيلاً قادراً على التصفح نحو صفحة ويب خبيثة. وعند تحميل هذه الصفحة، ينفذ كود JavaScript اتصال WebSocket بخدمة AutoGen Studio المحلية، ثم يرسل حمولة برمجية تؤدي إلى تشغيل أمر على الجهاز بصلاحيات حساب المطور نفسه. وقد استخدمت Microsoft في عرضها التوضيحي أمر تشغيل تطبيق الحاسبة في نظام Windows لإثبات الأثر الأمني دون تنفيذ أي حمولة ضارة.
الإصلاح قبل الإصدار العام
أوضحت Microsoft أن الكود المتأثر بالثغرة عولج قبل إدراجه في أي إصدار رسمي منشور عبر مستودع حزم بايثون (PyPI)؛ وبناء على ذلك، لم يتعرض مستخدمو حزمة autogenstudio المستقرة لهذا المسار من الهجوم. واقتصرت احتمالية التعرض للمخاطر على المطورين الذين قاموا ببناء AutoGen Studio مباشرة من الفرع الرئيسي على منصة GitHub خلال نافذة زمنية محدودة سبقت دمج تحديثات الحماية.
وتظهر هذه التعديلات الأمنية في التزام التغيير رقم b047730 ضمن مستودع AutoGen، حيث نقلت عملية تمرير معلمات الخادم إلى آلية ربط من جهة الخادم بدلاً من قبولها مباشرة عبر عنوان WebSocket، كما أُلغي استثناء مسارات MCP من المصادقة. وبموجب هذا التحديث، لم تعد نقطة الاتصال تقبل معرفات جلسات غير معروفة أو معلمات قابلة للحقن بالطريقة السابقة.
دلالة أوسع لأمن الوكلاء الذكيين
تتجاوز أهمية ثغرة AutoJack حدود منتج AutoGen Studio، كونها تكشف عن نمط أمني متكرر في بيئات عمل وكلاء الذكاء الاصطناعي. فعندما يجمع الوكيل بين القدرة على تصفح محتوى غير موثوق وإمكانية الوصول إلى خدمات محلية ذات صلاحيات مرتفعة، تتحول حدود المضيف المحلي من فرضية أمان تقليدية إلى سطح هجوم محتمل.
وتوصي Microsoft بتشغيل AutoGen Studio كنموذج أولي معزول للمطورين، وعدم تشغيله كخدمة مكشوفة على شبكة الإنترنت، مع ضرورة ربطه ببيئات محدودة الصلاحيات أو حاويات معزولة عند الحاجة. كما توضح الإرشادات أهمية تجنب تشغيل وكلاء قادرين على التصفح أو تنفيذ الكود العشوائي على الجهاز نفسه الذي يتعامل مع محتوى غير موثوق، مؤكدة على ضرورة حماية نقاط التحكم المحلية عبر آليات المصادقة، والعزل، وقوائم السماح.
