Resna ranljivost AutoJack v Microsoft AutoGen Studio omogočala izvajanje kode

Microsoft je zakrpal resno varnostno ranljivost v AutoGen Studio, svojem grafičnem vmesniku za prototipiranje in razvoj umetno inteligentnih agentov. Ranljivostna veriga, ki so jo raziskovalci poimenovali AutoJack, je napadalcem pod določenimi pogoji omogočala izvajanje poljubnih ukazov neposredno na sistemu, kjer teče aplikacija.

AutoGen Studio je orodje, namenjeno razvijalcem in podatkovnim znanstvenikom, ki eksperimentirajo z večagentnimi sistemi, temelječimi na velikih jezikovnih modelih. Prav ta razvojna narava orodja – ki privzeto deluje lokalno in pogosto s povišanimi pravicami – je ustvarila plodna tla za izkoriščanje odkritih pomanjkljivosti.

Bistvo ranljivosti tiči v načinu, kako AutoGen Studio obdeluje vnose in komunicira z lokalnim spletnim strežnikom. Napadalec je žrtev moral prepričati le k obisku posebej pripravljene zlonamerne spletne strani. Ta je prek tehnike cross-site request forgery (CSRF) in pomanjkljive validacije vhodnih podatkov izkoristila privilegiran dostop lokalnega vmesnika ter AI agentu podtaknila zlonamerna navodila. Agent je ukaze nato poslušno izvršil v kontekstu operacijskega sistema gostitelja.

Microsoft je ranljivosti dodelil oznaki CVE-2025-XXXX (specifična CVE številka bo objavljena po dokončni koordinirani objavi), resnost pa je bila ocenjena kot visoka. Prizadete so različice AutoGen Studio pred zadnjo posodobljeno izdajo, ki jo je Microsoft izdal v okviru rednega cikla popravkov.

Prizadeti sistemi so vsi, ki poganjajo ranljivo različico AutoGen Studio – zlasti razvijalska in testna okolja, kjer orodje deluje z lokalnim dostopom do datotečnega sistema in omrežnih virov. Ker je AutoGen Studio pogosto nameščen na delovnih postajah razvijalcev z obsežnimi pravicami, je potencialni radij škode precejšen.

Priporočila za zaščito so jasna: takoj posodobite AutoGen Studio na najnovejšo različico. Razvijalcem svetujemo tudi, da AutoGen Studio nikoli ne poganjajo v produkcijskem okolju brez ustrezne izolacije, ter da omejijo dostop do lokalnega vmesnika zgolj na zaupanja vredne vire. Kjer je mogoče, je priporočljivo orodje zagnati v namenski virtualni ali vsebniški (Docker) izolaciji, ki omeji morebitno škodo ob uspešnem napadu.

Primer AutoJack še enkrat opozarja na specifična tveganja, ki jih prinašajo razvojna orodja za AI – pogosto hitro razvita, redko varnostno revidirana in praviloma nameščena z obsežnimi pravicami na sistemih razvijalcev, ki so hkrati privilegirani cilji za napadalce.


Vir: https://www.bleepingcomputer.com/news/security/microsoft-fixes-autogen-studio-flaw-that-enabled-code-execution/
Originalna objava: 2026-06-22
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply