Microsoft Security 在 6 月 18 日公開的 AutoJack 研究,表面上是一條資安漏洞鏈;放進 AI agent 的採用節奏裡看,卻更像是一個邊界提醒。當 agent 可以開瀏覽器、讀網頁、接本機工具、呼叫開發框架,過去工程師習慣把「localhost」「內部工具」「只有我這台機器能碰到」視為比較安全的區域,現在開始變得不夠用了。因為真正接觸外部內容的,不再只是人類眼睛和瀏覽器,而是一個可能會把頁面訊號轉成行動的代理系統。
Microsoft 把這條鏈命名為 AutoJack,重點不是炫技,而是指出一個很容易被忽略的組合:瀏覽不可信網頁的 agent、受信任的本機服務、缺口不夠清楚的驗證邊界,以及可能把 URL 或參數帶進本機執行環境的橋接設計。官方文章以 AutoGen Studio 與 MCP WebSocket 相關路徑說明問題,但它真正敲響的是更大的警鐘:企業正在把 agent 接到檔案、命令列、資料庫、瀏覽器、IDE 和內部 API,如果這些接口仍用「本機就可信」來設計,攻擊面會被 agent 的行動能力放大。
這也是為什麼 AutoJack 不能只被當成單一框架漏洞看待。CSO Online 的交叉報導把問題說成 web-enabled AI agents 可能觸發 host-level RCE,這個說法之所以有份量,是因為它抓到 agent 安全和傳統網頁安全的差異。傳統瀏覽器的防線集中在同源政策、沙箱、使用者確認和下載執行限制;agent 系統則常常另外接上本機工具伺服器、模型上下文、工作流權限與自動化腳本。一旦這些層之間沒有清楚的身分、來源、權限和審計,網頁內容就可能不只是「被看見」,而是被代理成「被執行」。
對企業來說,這個訊號來得剛好有點尷尬。過去半年,AI agent 的賣點多半是把工作流接起來:幫工程師讀 repo、開 PR、跑測試;幫營運查資料、填表單、打 API;幫客服跨系統找紀錄、更新票據。這些能力要成立,就必須讓模型碰到工具。但 AutoJack 提醒的是,工具一旦被接上,就不能再只問模型會不會亂回答,而要問每個工具入口有沒有自己的驗證、有沒有最小權限、有沒有把不可信內容和本機能力隔開、有沒有留下可追蹤紀錄,也要問 agent 被網頁誘導時,系統到底能不能停下來。
Microsoft 同一週的另一篇 MDASH 文章,正好補上產業背景。公司正在把多模型 agentic scanning system 接進 Windows、Azure、identity systems、GitHub Advanced Security、Azure DevOps 和 Microsoft Defender 的流程裡,強調漏洞發現要從 benchmark 走進真實工程管線。這兩件事放在一起看很有意思:一邊是 AI agent 被用來找漏洞、修漏洞、加速防守;另一邊是 AI agent 自己也帶來新的本機攻擊面。AI 資安不是單向進步,而是攻防兩邊同時升級。
這會改變企業採購 agent 平台時的問題清單。以前大家會問模型是哪一家、上下文多長、工具支援幾種、能不能連 Slack、Jira、GitHub、Google Drive。接下來更實際的問題會變成:本機服務是否預設綁定在可被網頁間接觸發的位置?MCP 類工具橋是否要求明確授權?agent 能不能把外部頁面內容直接轉成命令參數?瀏覽器和本機 runtime 之間有沒有隔離?錯誤行動能不能回滾?每一次工具呼叫能不能被稽核?這些問題聽起來比模型能力無聊,卻會決定 agent 能不能進入真實企業環境。
AutoJack 的重點不是說 AI agent 不該上網,也不是說 MCP 或本機工具橋不能用。相反地,它說明 agent 要真正進入工作流,就必須把安全邊界做得比 demo 更細。瀏覽器不是純閱讀器,本機不是天然安全區,工具橋也不是只屬於開發者的方便通道。當 agent 開始替人行動,企業要治理的不是單一回答,而是一整段從網頁、模型、工具、權限到主機的路徑。這條路徑如果沒有被設計成可驗證、可限制、可回看,agent 越能幹,風險也會越具體。
參考來源
- AutoJack: How a single page can RCE the host running your AI agent – Microsoft Security Blog: https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent/
- Microsoft says web-enabled AI agents can trigger host-level RCE – CSO Online: https://www.csoonline.com/article/4187155/microsoft-says-web-enabled-ai-agents-can-trigger-host-level-rce.html
- Beyond the benchmark: Advancing security at AI speed – Microsoft Security Blog: https://www.microsoft.com/en-us/security/blog/2026/06/17/beyond-the-benchmark-advancing-security-at-ai-speed/
- CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale – arXiv: https://arxiv.org/abs/2506.02548