Дослідники Microsoft виявили новий вектор атак AutoJack, який дозволяє виконувати шкідливий код на комп’ютері користувача через автономних ШІ-агентів. Коли ШІ завантажує для аналізу контрольовану хакерами вебсторінку, інтегрований скрипт JavaScript надсилає запит на локальний мережевий інтерфейс до керуючого сервісу ШІ. Вразливість зафіксована у тестових збірках фреймворку AutoGen Studio (0.4.3.dev1 та dev2) через відсутність автентифікації на внутрішньому маршруті WebSocket протоколу MCP.

Успішний прототип атаки продемонстрував, як ШІ-агент після переходу за лінком автоматично запускає системний процес на ПК розробника з його правами без жодних попереджень. Розробники проекту закрили прогалину у коміті b047730, впровадивши ізоляцію сесій одноразовими токенами. Фактів використання хакерами уреальних випадках немає, але дослідження викрило аналогічні архітектурні проблеми з лінійкою інтерфейсів ШІ в інших великих платформах, включаючи Microsoft Semantic Kernel.