{"id":1251,"date":"2026-06-19T17:34:21","date_gmt":"2026-06-19T17:34:21","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/el-ataque-autojack-permite-que-una-pagina-web-secuestre-al-agente-de-ia-para-la-ejecucion-del-codigo-del-host-cyberdefensa-mx\/"},"modified":"2026-06-19T17:34:21","modified_gmt":"2026-06-19T17:34:21","slug":"el-ataque-autojack-permite-que-una-pagina-web-secuestre-al-agente-de-ia-para-la-ejecucion-del-codigo-del-host-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/el-ataque-autojack-permite-que-una-pagina-web-secuestre-al-agente-de-ia-para-la-ejecucion-del-codigo-del-host-cyberdefensa-mx\/","title":{"rendered":"El ataque AutoJack permite que una p\u00e1gina web secuestre al agente de IA para la ejecuci\u00f3n del c\u00f3digo del host \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de Microsoft han detallado una cadena de exploits, denominada AutoJack<\/a>que convierte un agente de navegaci\u00f3n de IA en un veh\u00edculo de entrega para la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

Dirige al agente para que cargue la p\u00e1gina web de un atacante, y el JavaScript de esa p\u00e1gina puede llegar a un servicio local privilegiado en la misma m\u00e1quina y generar un proceso en el host.<\/p>\n

Sin credenciales, sin pantalla de inicio de sesi\u00f3n y sin m\u00e1s interacci\u00f3n del usuario una vez que el agente carga la p\u00e1gina. El atacante s\u00f3lo tiene que lograr que el agente lo abra, y un enlace colocado, un campo URL o una inyecci\u00f3n r\u00e1pida ser\u00e1n suficientes.<\/p>\n

El defecto se encuentra en Estudio AutoGen<\/a>la interfaz de creaci\u00f3n de prototipos de c\u00f3digo abierto para el marco multiagente AutoGen de Microsoft Research. Este no es un error que afecta a todos los que instalan el paquete, y vale la pena corregir los detalles del paquete.<\/p>\n

Un autogenstudio de instalaci\u00f3n de pip simple extrae la versi\u00f3n estable actual, 0.4.2.2, la compilaci\u00f3n que Microsoft inspeccion\u00f3, y no tiene ninguna ruta de protocolo de contexto modelo (MCP).<\/p>\n

Esa es la base de la declaraci\u00f3n de Microsoft de que la superficie vulnerable MCP WebSocket \u00abnunca se incluy\u00f3 en una versi\u00f3n de PyPI\u00bb. Es v\u00e1lido para la construcci\u00f3n estable. Pero el controlador vulnerable se envi\u00f3 a PyPI, en dos versiones preliminares, 0.4.3.dev1 y 0.4.3.dev2.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

The Hacker News descarg\u00f3 e inspeccion\u00f3 ambos. La ruta MCP WebSocket est\u00e1 presente, el controlador toma el comando para ejecutarlo directamente desde la solicitud y no autentica a la persona que llama. Ninguna construcci\u00f3n ha sido eliminada.<\/p>\n

pip no instala versiones preliminares a menos que pase \u2013pre o fije la versi\u00f3n, por lo que nunca se expuso una instalaci\u00f3n simple. Cualquiera que haya instalado una de esas versiones preliminares lo fue. Todav\u00eda no existe una compilaci\u00f3n de PyPI que lleve el refuerzo de la rama principal para ellos; el c\u00f3digo fijo est\u00e1 en GitHub principal en la confirmaci\u00f3n b047730.<\/p>\n

Como funciona la cadena<\/h2>\n

AutoJack encadena tres debilidades en el MCP WebSocket.<\/p>\n

Primero, el socket confiaba en localhost, una verificaci\u00f3n destinada a bloquear un navegador normal que apunta a un sitio malicioso. Pero un agente de navegaci\u00f3n que se ejecuta en el mismo cuadro es localhost, por lo que todo lo que carga hereda esa identidad de localhost y pasa la verificaci\u00f3n.<\/p>\n

\"\"<\/a><\/div>\n

En segundo lugar, el middleware de autenticaci\u00f3n omiti\u00f3 las rutas de MCP suponiendo que el controlador verificar\u00eda los tokens por s\u00ed mismo. Nunca lo hizo, por lo que el socket acept\u00f3 conexiones no autenticadas independientemente del modo de autenticaci\u00f3n configurado.<\/p>\n

En tercer lugar, el punto final tom\u00f3 un comando directamente de un par\u00e1metro de solicitud y lo ejecut\u00f3, sin una lista de permitidos en la que se pudiera iniciar el ejecutable.<\/p>\n

En conjunto, una p\u00e1gina en Internet abierta, representada por un agente local, podr\u00eda ejecutar un comando elegido por el atacante en la cuenta que ejecuta AutoGen Studio.<\/p>\n

Microsoft describe esto como una investigaci\u00f3n, no como una campa\u00f1a activa, y no inform\u00f3 ninguna explotaci\u00f3n en la naturaleza. La prueba de concepto utiliz\u00f3 un agente \u00abResumen de contenido web\u00bb que, cuando se alimenta con una URL del atacante, muestra calc.exe en el escritorio del desarrollador, iniciado por el proceso AutoGen Studio.<\/p>\n

\"\"<\/a><\/div>\n

Microsoft inform\u00f3 del comportamiento al Centro de respuesta de seguridad de Microsoft y los mantenedores reforzaron la rama principal en cometer b047730<\/a> (PR #7362). El controlador fijo ya no lee el comando de la URL; Los par\u00e1metros se almacenan en el lado del servidor detr\u00e1s de una ID de sesi\u00f3n \u00fanica y las ID desconocidas se rechazan. Las rutas MCP ahora pasan por la ruta de autenticaci\u00f3n normal. Ese endurecimiento a\u00fan no ha llegado a una versi\u00f3n de PyPI.<\/p>\n

que hacer<\/h2>\n

Una simple instalaci\u00f3n de pip en autogenstudio le proporciona 0.4.2.2, que no tiene ruta MCP, por lo que no se ve afectado.<\/p>\n

Si instal\u00f3 una versi\u00f3n preliminar, tiene el controlador vulnerable y no tiene una compilaci\u00f3n de PyPI parcheada a la que trasladarse. Extraiga de GitHub principal en o despu\u00e9s de la confirmaci\u00f3n b047730. Esa es la verdadera soluci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Hasta que haya una liberaci\u00f3n, separe las piezas que necesita el ataque. No ejecute AutoGen Studio en la misma m\u00e1quina que un agente de navegaci\u00f3n o ejecuci\u00f3n de c\u00f3digo que toque contenido que no sea de confianza, porque la cadena solo funciona cuando ambos comparten el mismo host local. Si tienen que ejecutarse juntos, a\u00edslelos en contenedores o m\u00e1quinas virtuales separados y ejecute AutoGen Studio con una cuenta con pocos privilegios.<\/p>\n

Los errores de AutoGen Studio est\u00e1n parcheados en la fuente. El patr\u00f3n no lo es. Microsoft espera la misma forma en otros marcos de agentes: un servicio local con demasiada potencia, una verificaci\u00f3n del host local tratada como seguridad y un agente que abre p\u00e1ginas que no son de confianza.<\/p>\n

THN lo vio el mes pasado en ChatGPhish, donde los res\u00famenes de p\u00e1ginas de ChatGPT se convirtieron en un vector de phishing. Microsoft present\u00f3 un argumento similar sobre el host local en su Investigaci\u00f3n del n\u00facleo sem\u00e1ntico RCE<\/a>rastreado como CVE-2026-26030 y CVE-2026-25592.<\/p>\n

Otra verificaci\u00f3n de localhost no es suficiente. Autentique el plano de control, mantenga la ejecuci\u00f3n del proceso detr\u00e1s de una lista de permitidos y proporcione al agente una identidad que no sea la propia sesi\u00f3n del desarrollador. Una vez que un agente puede navegar por la web abierta y acceder a servicios locales privilegiados, localhost ya no es un l\u00edmite de confianza.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de Microsoft han detallado una cadena de exploits, denominada AutoJackque convierte un agente de navegaci\u00f3n de IA en un veh\u00edculo de entrega para la ejecuci\u00f3n remota de c\u00f3digo. Dirige al agente para que cargue la p\u00e1gina web de un atacante, y el JavaScript de esa p\u00e1gina puede llegar a un servicio local privilegiado […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[397,181,3209,376,24,70,766,1628,2521,36,265,3210,132,234],"class_list":["post-1251","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agente","tag-ataque","tag-autojack","tag-codigo","tag-cyberdefensa-mx","tag-del","tag-ejecucion","tag-host","tag-pagina","tag-para","tag-permite","tag-secuestre","tag-una","tag-web"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1251"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1251\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}