結論:AIエージェントがWebとローカルツールを橋渡しすると、localhostは安全地帯ではない
Microsoft Defender Security Research Teamは2026年6月18日、AutoGen Studioの開発中コードで確認した攻撃連鎖「AutoJack」を公表しました。悪意あるWebページをAIブラウザエージェントが開き、localhost上のMCP WebSocketへ到達し、認証の欠落と外部入力されたコマンドパラメータを組み合わせて、ホスト上の任意プロセスを起動する研究です。
事実関係を誤解してはいけません。
- 問題は開発中に報告・修正された
- Microsoftによれば、影響するMCP WebSocket面はPyPI公開版へ含まれていない
- 現在の公開版を
pip installした利用者が、この特定経路にさらされるという発表ではない - 重要な教訓は、Web閲覧エージェントと高権限ローカルサービスを同じ環境で動かす一般的な設計リスク
「AutoGen Studioは危険」という記事ではありません。自社のAIエージェント、MCP、ブラウザ自動化、コード実行、開発PCに同じ形がないかを確認する記事です。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
何が連鎖したのか
Microsoftの説明を経営・発注側の言葉に直すと、次の3条件です。
- Web閲覧:エージェントが外部ページを開き、ページ上のコードや指示を処理する
- 信頼の誤認:localhostから来た通信を安全とみなす、またはMCP経路の認証を除外する
- 高権限実行:外部入力からコマンド名・引数を作り、開発者権限で実行する
この3つが分離されていれば、単独の弱点が即RCEになるとは限りません。問題は、便利さのために同じPC・同じユーザー・同じネットワーク・同じエージェントへ集約した時です。
経営者が見落とす5つの落とし穴
- PoCだから開発者の普段使いPCで動かす
- localhostは外部から見えないので認証不要と考える
- MCPサーバーの実行ファイルと引数をモデル出力から自由に作る
- ブラウザとコード実行に同じOSユーザー権限を渡す
- EDR、ログ、秘密情報の分離を本番化後に行う
PoCは安全対策を省く段階ではなく、危険な権限を隔離した環境で失敗を見つける段階です。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXO式「ブラウザAIエージェント5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| 外部入力 | 20 | URL、ページ、ファイル、メールを非信頼として検査 | 検索結果をそのまま命令として実行 |
| MCP・制御面 | 25 | 全経路に認証・認可、短期トークン、サーバー側パラメータ | localhost・WebSocketだけ認証除外 |
| 実行権限 | 25 | 実行ファイル・引数・接続先・書込先を許可リスト化 | モデルが任意コマンドを生成 |
| 隔離・秘密 | 15 | 別OSユーザー、コンテナ/VM、秘密の最小化、送信制御 | 開発者のSSH鍵・クラウド鍵へ到達 |
| 監視・復旧 | 15 | 子プロセス、通信、ファイル、MCPログ、鍵ローテーション | 異常を検知しても止められない |
合計点に関係なく停止する条件
- ブラウザ閲覧と任意コード実行を同じ高権限環境で行う
- MCP・WebSocket・デバッグ面に認証がない
- モデル出力から実行コマンドを許可リストなしで作る
- 開発PCのSSH鍵、クラウド鍵、本番DB資格情報へ到達できる
- インシデント時にエージェント・鍵・接続先を一括停止できない
1つでも該当すれば、外部Web閲覧またはコード実行を止めます。
記入例:Web調査とレポート作成を行う社内エージェント
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| 外部入力 | 12/20 | URL制限はあるがページ内指示を未検査 |
| MCP・制御面 | 10/25 | localhostのMCPに認証なし |
| 実行権限 | 8/25 | Python・shellを自由実行 |
| 隔離・秘密 | 5/15 | 開発者PCでクラウドCLIと共存 |
| 監視・復旧 | 6/15 | 会話ログのみ、子プロセス監視なし |
| 合計 | 41/100 | 外部閲覧とコード実行を停止 |
改善後は、ブラウザをネットワーク制限付きコンテナへ分離し、MCPを相互認証し、許可ツールを読取専用に限定します。調査結果は下書きとして人が確認し、ファイル書込や外部送信を別承認にします。
ベンダーへ聞く12問
- Webページ内の指示を非信頼として扱うか
- MCP・WebSocket・debug・adminの全経路で認証するか
- サーバー起動パラメータを誰が決めるか
- 実行できるバイナリと引数の許可リストはあるか
- エージェントと開発者は別IDか
- コンテナ・VMからホストのlocalhostへ到達できるか
- SSH鍵、APIキー、ブラウザCookieを読めるか
- 外向き通信先を制限しているか
- 子プロセスとMCP呼出しを記録するか
- EDRで異常プロセスを止められるか
- 鍵を何分で失効・交換できるか
- フレームワーク更新を何日以内に評価するか
回答はYes/Noではなく、構成図、ポリシー、ログ、テスト結果、停止手順で提出してもらいます。
90分の初動監査
- エージェント実行ホストとOSユーザーを特定
- 接続するMCP・localhost・WebSocketを列挙
- 実行可能ツール、コマンド、書込先、外部送信先を列挙
- 到達可能な秘密情報を確認
- 外部Web閲覧とコード実行が同居する箇所を停止候補にする
- 監視・鍵失効・復旧の担当を決める
GXOでは生成AIセキュリティと脆弱性診断で、AIエージェントの権限・MCP・秘密情報・実行環境を点検します。PoCや開発会社の設計段階ならAI導入可否アセスメントとシステム開発セカンドオピニオンが入口です。
FAQ
現在のAutoGen Studio公開版は危険ですか
Microsoftは、この特定のMCP WebSocket面は開発中に修正され、PyPI公開版には含まれていないと説明しています。本記事は特定公開版の侵害を主張するものではありません。
localhostだけで待ち受ければ安全ですか
AIエージェントが同じホストで外部ページを開き、localhostへ通信できるなら、localhostだけでは十分な信頼境界になりません。認証・認可・隔離が必要です。
プロンプトインジェクション対策だけで防げますか
不十分です。入力検査に加え、MCP認証、権限の許可リスト、別ID・コンテナ、EDR、鍵失効を重ねます。
出典・確認日
- Microsoft Security Blog「AutoJack: How a single page can RCE the host running your AI agent」(2026年6月18日公開、2026年7月13日確認)
- Microsoft「Defense in depth for autonomous AI agents」(2026年7月13日確認)
- OWASP GenAI Security Project(2026年7月13日確認)
フレームワークの版、修正状況、影響範囲は変わります。対象リポジトリ、ベンダーアドバイザリ、導入済みコミット・パッケージを個別に確認してください。






