Microsoft Tambal Celah Keamanan AutoGen Studio yang Picu Eksekusi Kode Jarak Jauh
Microsoft berhasil mengatasi rantai kerentanan kritis yang dijuluki AutoJack pada antarmuka AutoGen Studio. Celah keamanan ini sebelumnya memungkinkan penyerang memanipulasi AI agent untuk mengeksekusi perintah sewenang-wenang (arbitrary commands) pada sistem lokal, hanya dengan memicu korban mengunjungi halaman web berbahaya.
AutoGen Studio merupakan komponen grafis dari AutoGen, sebuah open-source framework buatan Microsoft yang dirancang untuk membangun sistem AI berbasis multi-agent. Melalui framework yang sangat populer di GitHub ini, para pengembang dapat menciptakan agen AI yang mampu berkolaborasi, menggunakan berbagai perangkat (tools), menjelajahi web, mengeksekusi kode, hingga terhubung ke sistem eksternal.
Kronologi dan Detail Kerentanan AutoJack
Pihak Microsoft menjelaskan bahwa serangan AutoJack bertumpu pada eksploitasi tiga kelemahan terpisah yang saling terhubung di dalam AutoGen Studio:
- Origin Bypass via AI Agent: Fitur MCP WebSocket secara otomatis mempercayai koneksi yang berasal dari localhost. Kondisi ini membuat browsing agent yang berjalan di mesin yang sama dapat terkecoh untuk memuat JavaScript berbahaya milik penyerang.
- Lemahnya Sistem Autentikasi: Komponen authentication middleware pada AutoGen Studio mengecualikan rute
/api/mcp/*dari pemeriksaan keamanan. Di sisi lain, endpoint MCP WebSocket juga gagal menerapkan autentikasinya sendiri, sehingga dapat diakses tanpa kredensial. - Eksekusi Perintah Jarak Jauh: MCP WebSocket menerima nilai
server_paramsberbasis base64-encoded dari URL, kemudian meneruskannya langsung ke kode peluncuran proses. Celah inilah yang dimanfaatkan penyerang untuk menyisipkan perintah PowerShell, Bash, atau file eksekusi (executable) lainnya.
Dalam skenario serangan yang disimulasikan, JavaScript berbahaya yang tertanam pada situs web eksternal akan dieksekusi saat AI agent milik pengembang mengunjungi halaman tersebut. Payload yang dikirimkan kemudian membuka koneksi WebSocket ke endpoint MCP lokal di AutoGen Studio, lalu memerintahkan sistem untuk menjalankan instruksi berbahaya dengan hak akses (privilege) setingkat akun pengembang yang sedang aktif.
Mitigasi dan Dampak pada Pengguna
Meskipun memiliki potensi bahaya yang besar, Microsoft menegaskan bahwa dampak dari AutoJack ini sangat terbatas. Celah keamanan tersebut berhasil diidentifikasi dan diperbaiki selama masa pengembangan, sebelum sempat dimasukkan ke dalam rilis resmi di Python Package Index (PyPI).
Pengguna yang menginstal AutoGen Studio melalui package manager PyPI, termasuk versi terbaru autogenstudio 0.4.2.2, dipastikan aman dari ancaman ini. Risiko paparan hanya terjadi pada para pengembang yang melakukan build AutoGen Studio secara manual langsung dari main branch di GitHub, dalam rentang waktu singkat sebelum commit perbaikan berkode b047730 diterapkan.
Sebagai langkah preventif ke depan, Microsoft menyarankan agar para pengembang memperlakukan AutoGen Studio murni sebagai prototipe di lingkungan yang terisolasi (isolated environment) dan tidak membukanya langsung ke jaringan internet publik. Selain itu, sangat direkomendasikan untuk menjalankan framework ini menggunakan akun dengan hak akses rendah (low-privilege account) di dalam kontainer atau sandbox guna meminimalisir dampak jika terjadi insiden serupa di masa mendatang.
