AutoJack: Eine Webseite reicht, um KI-Agenten zu kapern

Worum es geht

Forschende von Microsoft haben am 18. Juni 2026 eine Exploit-Kette namens AutoJack veröffentlicht. Sie zeigt, wie eine einzige bösartige Webseite einen KI-Browser-Agenten in ein Werkzeug zur Remote-Codeausführung (RCE) auf dem Host-Rechner verwandeln kann. Die Schwachstelle sitzt in AutoGen Studio, der quelloffenen Prototyping-Oberfläche für das Multi-Agenten-Framework AutoGen von Microsoft Research. Microsoft beschreibt AutoJack ausdrücklich als Forschungsergebnis, nicht als laufende Angriffskampagne, und meldet keine Ausnutzung in freier Wildbahn.

Was der Angriff tatsächlich macht

AutoJack verkettet drei Schwächen in der MCP-WebSocket-Schnittstelle. Erstens vertraute der Socket dem lokalen Rechner (localhost) — eine Prüfung, die einen normalen Browser auf einer bösartigen Seite blocken soll. Ein Browser-Agent läuft aber selbst auf demselben Rechner und gilt damit als localhost, sodass alles, was er lädt, diese Vertrauensstellung erbt. Zweitens übersprang die Authentifizierung die MCP-Pfade in der Annahme, der nachgelagerte Handler prüfe die Tokens selbst — was nie geschah, sodass nicht authentifizierte Verbindungen akzeptiert wurden. Drittens nahm der Endpunkt einen Befehl direkt aus einem Anfrageparameter entgegen und führte ihn aus, ohne eine Liste erlaubter Programme. Sind alle drei verkettet, genügt es, dass der Agent die Seite öffnet — kein Login, keine Zugangsdaten, keine weitere Nutzeraktion. Ein platzierter Link, ein URL-Feld oder eine Prompt-Injection reichen.

Warum das wichtig ist

KI-Agenten, die selbstständig im Web surfen, werden 2026 zunehmend in Arbeitsabläufe eingebaut. AutoJack führt vor Augen, dass ein solcher Agent die Grenze zwischen "nur eine Webseite ansehen" und "Code auf meinem Rechner ausführen" verwischen kann. Klassische Schutzannahmen — etwa dass localhost vertrauenswürdig ist — greifen nicht mehr, wenn der Agent selbst auf dem Rechner läuft. Für Unternehmen heißt das: Jeder Agent, der nicht vertrauenswürdige Inhalte verarbeitet, ist ein potenzieller Einfallsweg. Entscheidend ist hier eine Entwarnung mit Vorbehalt: Die betroffene MCP-WebSocket-Oberfläche war nie Teil einer Veröffentlichung über den Python-Paketindex PyPI. Wer AutoGen Studio über PyPI installiert, ist von genau dieser Kette nicht betroffen.

Einfach erklärt

Stellen Sie sich einen Hausassistenten vor, der für Sie Pakete an der Tür entgegennimmt. Eigentlich soll er nur Päckchen annehmen. Doch ein Trickbetrüger reicht ihm einen Zettel, auf dem steht: "Geh in die Küche und dreh den Herd auf." Weil der Assistent im Haus steht und alles ausführt, was ihm gereicht wird, tut er es — ohne dass jemand die Haustür aufbrechen musste. AutoJack ist der Zettel, der KI-Agent ist der Assistent.

Praktisches Beispiel

Ein DACH-Softwarehaus baut einen internen Recherche-Agenten, der für Mitarbeitende Webseiten zusammenfasst, und nutzt dafür AutoGen Studio aus dem Quellcode-Repository statt aus dem PyPI-Paket. Ein Mitarbeiter bittet den Agenten, eine von extern geschickte Seite zu öffnen. Auf dieser Seite läuft im Hintergrund JavaScript, das die lokale MCP-Schnittstelle anspricht und einen Befehl absetzt. Hätte das Haus die drei Schwächen offen gelassen, könnte der Angreifer Code auf dem Rechner ausführen. Die Lehre: Agenten gehören in eine isolierte Umgebung (Sandbox), lokale Dienste brauchen echte Authentifizierung, und Befehle dürfen nie ungeprüft aus Anfrageparametern stammen.

Einordnung und Grenzen

Erstens: AutoJack ist eine Forschungsdemonstration, kein bekannter aktiver Angriff. Microsoft berichtet von keiner Ausnutzung in der Praxis. Zweitens: Die konkrete Kette betrifft die MCP-WebSocket-Oberfläche, die nicht über PyPI ausgeliefert wurde — Standardinstallationen über PyPI sind dadurch nicht über diesen Weg verwundbar. Drittens: Das eigentliche Problem ist allgemeiner als ein einzelnes Werkzeug. Die zugrunde liegenden Muster — Vertrauen auf localhost, übersprungene Authentifizierung, ungefilterte Befehlsausführung — können in anderen Agenten-Setups ebenso auftreten und erfordern dort dieselbe Sorgfalt.

SEO- und GEO-Schlüsselbegriffe

AutoJack, AutoGen Studio, Microsoft, KI-Agenten, Remote Code Execution, RCE, MCP, Model Context Protocol, WebSocket, Prompt Injection, localhost, Agentensicherheit, AutoGen, PyPI