GXO
サイバーセキュリティ

AutoJackに学ぶAIブラウザエージェント安全設計|localhostを信頼しない100点監査

8分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

サイバーセキュリティ

結論:AIエージェントがWebとローカルツールを橋渡しすると、localhostは安全地帯ではない

Microsoft Defender Security Research Teamは2026年6月18日、AutoGen Studioの開発中コードで確認した攻撃連鎖「AutoJack」を公表しました。悪意あるWebページをAIブラウザエージェントが開き、localhost上のMCP WebSocketへ到達し、認証の欠落と外部入力されたコマンドパラメータを組み合わせて、ホスト上の任意プロセスを起動する研究です。

事実関係を誤解してはいけません。

  • 問題は開発中に報告・修正された
  • Microsoftによれば、影響するMCP WebSocket面はPyPI公開版へ含まれていない
  • 現在の公開版をpip installした利用者が、この特定経路にさらされるという発表ではない
  • 重要な教訓は、Web閲覧エージェントと高権限ローカルサービスを同じ環境で動かす一般的な設計リスク

「AutoGen Studioは危険」という記事ではありません。自社のAIエージェント、MCP、ブラウザ自動化、コード実行、開発PCに同じ形がないかを確認する記事です。

EMERGENCY RESPONSE

この脆弱性、貴社システムは影響を受けますか?

影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。

影響確認を依頼する

何が連鎖したのか

Microsoftの説明を経営・発注側の言葉に直すと、次の3条件です。

  1. Web閲覧:エージェントが外部ページを開き、ページ上のコードや指示を処理する
  2. 信頼の誤認:localhostから来た通信を安全とみなす、またはMCP経路の認証を除外する
  3. 高権限実行:外部入力からコマンド名・引数を作り、開発者権限で実行する

この3つが分離されていれば、単独の弱点が即RCEになるとは限りません。問題は、便利さのために同じPC・同じユーザー・同じネットワーク・同じエージェントへ集約した時です。

経営者が見落とす5つの落とし穴

  • PoCだから開発者の普段使いPCで動かす
  • localhostは外部から見えないので認証不要と考える
  • MCPサーバーの実行ファイルと引数をモデル出力から自由に作る
  • ブラウザとコード実行に同じOSユーザー権限を渡す
  • EDR、ログ、秘密情報の分離を本番化後に行う

PoCは安全対策を省く段階ではなく、危険な権限を隔離した環境で失敗を見つける段階です。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

GXO式「ブラウザAIエージェント5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
外部入力20URL、ページ、ファイル、メールを非信頼として検査検索結果をそのまま命令として実行
MCP・制御面25全経路に認証・認可、短期トークン、サーバー側パラメータlocalhost・WebSocketだけ認証除外
実行権限25実行ファイル・引数・接続先・書込先を許可リスト化モデルが任意コマンドを生成
隔離・秘密15別OSユーザー、コンテナ/VM、秘密の最小化、送信制御開発者のSSH鍵・クラウド鍵へ到達
監視・復旧15子プロセス、通信、ファイル、MCPログ、鍵ローテーション異常を検知しても止められない

合計点に関係なく停止する条件

  • ブラウザ閲覧と任意コード実行を同じ高権限環境で行う
  • MCP・WebSocket・デバッグ面に認証がない
  • モデル出力から実行コマンドを許可リストなしで作る
  • 開発PCのSSH鍵、クラウド鍵、本番DB資格情報へ到達できる
  • インシデント時にエージェント・鍵・接続先を一括停止できない

1つでも該当すれば、外部Web閲覧またはコード実行を止めます。

記入例:Web調査とレポート作成を行う社内エージェント

横にスクロールして確認できます

ゲート得点不足
外部入力12/20URL制限はあるがページ内指示を未検査
MCP・制御面10/25localhostのMCPに認証なし
実行権限8/25Python・shellを自由実行
隔離・秘密5/15開発者PCでクラウドCLIと共存
監視・復旧6/15会話ログのみ、子プロセス監視なし
合計41/100外部閲覧とコード実行を停止

改善後は、ブラウザをネットワーク制限付きコンテナへ分離し、MCPを相互認証し、許可ツールを読取専用に限定します。調査結果は下書きとして人が確認し、ファイル書込や外部送信を別承認にします。

ベンダーへ聞く12問

  1. Webページ内の指示を非信頼として扱うか
  2. MCP・WebSocket・debug・adminの全経路で認証するか
  3. サーバー起動パラメータを誰が決めるか
  4. 実行できるバイナリと引数の許可リストはあるか
  5. エージェントと開発者は別IDか
  6. コンテナ・VMからホストのlocalhostへ到達できるか
  7. SSH鍵、APIキー、ブラウザCookieを読めるか
  8. 外向き通信先を制限しているか
  9. 子プロセスとMCP呼出しを記録するか
  10. EDRで異常プロセスを止められるか
  11. 鍵を何分で失効・交換できるか
  12. フレームワーク更新を何日以内に評価するか

回答はYes/Noではなく、構成図、ポリシー、ログ、テスト結果、停止手順で提出してもらいます。

90分の初動監査

  1. エージェント実行ホストとOSユーザーを特定
  2. 接続するMCP・localhost・WebSocketを列挙
  3. 実行可能ツール、コマンド、書込先、外部送信先を列挙
  4. 到達可能な秘密情報を確認
  5. 外部Web閲覧とコード実行が同居する箇所を停止候補にする
  6. 監視・鍵失効・復旧の担当を決める

GXOでは生成AIセキュリティ脆弱性診断で、AIエージェントの権限・MCP・秘密情報・実行環境を点検します。PoCや開発会社の設計段階ならAI導入可否アセスメントシステム開発セカンドオピニオンが入口です。

FAQ

現在のAutoGen Studio公開版は危険ですか

Microsoftは、この特定のMCP WebSocket面は開発中に修正され、PyPI公開版には含まれていないと説明しています。本記事は特定公開版の侵害を主張するものではありません。

localhostだけで待ち受ければ安全ですか

AIエージェントが同じホストで外部ページを開き、localhostへ通信できるなら、localhostだけでは十分な信頼境界になりません。認証・認可・隔離が必要です。

プロンプトインジェクション対策だけで防げますか

不十分です。入力検査に加え、MCP認証、権限の許可リスト、別ID・コンテナ、EDR、鍵失効を重ねます。

出典・確認日

フレームワークの版、修正状況、影響範囲は変わります。対象リポジトリ、ベンダーアドバイザリ、導入済みコミット・パッケージを個別に確認してください。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK