هجوم “AutoJack”: صفحة ويب واحدة تكفي لاختطاف وكيل ذكاء اصطناعي وتنفيذ أوامر على المضيف

كشف باحثو مايكروسوفت عن سلسلة استغلال جديدة أُطلق عليها اسم AutoJack، تسمح بتحويل وكيل تصفح ذكاء اصطناعي إلى أداة لتنفيذ أوامر عن بُعد على جهاز المضيف. يكفي أن يقوم الوكيل بتحميل صفحة ويب خبيثة، ليتمكن جافاسكريبت مزروع من الوصول إلى خدمة محلية ذات امتيازات وتشغيل عملية على النظام.
الثغرة تكمن في واجهة AutoGen Studio مفتوحة المصدر، التابعة لإطار عمل AutoGen متعدد الوكلاء. المشكلة لا تؤثر على جميع المستخدمين، بل على إصدارات تجريبية محددة (0.4.3.dev1 و0.4.3.dev2) التي تضمنت مسار WebSocket غير محمي.

كيف يعمل الاستغلال؟

سلسلة AutoJack تستند إلى ثلاث ثغرات متتابعة:

  • الثقة في localhost: الوكيل الذي يعمل محليًا يُعتبر “آمنًا”، لكن أي صفحة يحمّلها ترث هذه الهوية وتتجاوز الفحص.
  • غياب التحقق من الهوية: المسار لم يطلب رموز مصادقة، ما سمح باتصالات غير موثقة.
  • تنفيذ أوامر مباشرة: نقطة النهاية كانت تأخذ الأمر من الطلب وتنفذه دون قائمة سماح.
    النتيجة: صفحة ويب مفتوحة عبر وكيل محلي يمكنها تشغيل أي أمر يختاره المهاجم تحت حساب المستخدم الذي يشغّل AutoGen Studio.
موقف مايكروسوفت والإصلاحات

مايكروسوفت أوضحت أن هذا البحث لم يُرصد في حملات فعلية، بل كُشف عبر إثبات مفهوم أظهر تشغيل “calc.exe” على سطح مكتب المطور. الإصلاحات أُضيفت إلى الفرع الرئيسي في GitHub (commit b047730)، حيث أصبح التنفيذ محكومًا بجلسة معرفية مؤقتة، وأُعيد إدخال مسارات MCP ضمن آلية المصادقة الطبيعية. لكن هذه التعديلات لم تصل بعد إلى إصدارات PyPI الرسمية.

ما الذي يجب فعله الآن؟
  • التثبيت العادي عبر pip install autogenstudio يجلب الإصدار 0.4.2.2 غير المتأثر.
  • من قام بتثبيت الإصدارات التجريبية يجب أن يسحب الكود من GitHub بعد commit b047730.
  • يُنصح بعدم تشغيل AutoGen Studio على نفس الجهاز مع وكلاء تصفح أو تنفيذ أكواد يتعاملون مع محتوى غير موثوق. إذا لزم الأمر، يجب عزله في حاويات أو أجهزة افتراضية وتشغيله بحساب منخفض الامتيازات.
دلالات أوسع على بيئة الوكلاء الذكية

مايكروسوفت حذرت من أن النمط الذي كشفه AutoJack قد يتكرر في أطر أخرى: خدمة محلية بامتيازات عالية، فحص localhost يُعتبر أمانًا، ووكيل يفتح صفحات غير موثوقة. أمثلة مشابهة ظهرت في ChatGPhish حيث تحولت ملخصات الصفحات إلى وسيلة تصيّد، وكذلك في أبحاث Semantic Kernel التي وثّقت ثغرات RCE (CVE-2026-26030 وCVE-2026-25592).
الدرس الأهم: لا يمكن اعتبار localhost حدًا أمنيًا، بل يجب فرض مصادقة صارمة، تقييد أوامر التنفيذ، ومنح الوكلاء هوية مستقلة عن جلسة المطور.

محمد وهبى
محمد وهبى
المقالات: 1231

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.