Microsoft Defender Security Research チームが2026年6月18日、AIブラウジングエージェントを悪用した新たな攻撃チェーン「AutoJack」の詳細を公開した。悪意ある1枚のWebページを閲覧させるだけで、AIエージェントを実行しているホストPCで任意コードが実行(RCE)されるという、AIエージェント時代ならではの脅威だ。

AutoJackとは何か

AutoJackは、AIブラウジングエージェントが「信頼できないWebコンテンツを閲覧する」という動作そのものを攻撃ベクターに変える、複数の脆弱点を連鎖させたエクスプロイトチェーンだ。標的は特定のソフトウェアの既知のバグではなく、「AIエージェントがlocalhostにアクセスできる」という設計上の前提そのものを突いている。

研究で具体的に示されたのは、AutoGen Studio(MicrosoftのマルチエージェントフレームワークのUI)のMCP(Model Context Protocol)WebSocketを経由した攻撃経路だ。

攻撃チェーンの仕組み:3つの前提が崩れる

1. localhostへの「盲目的な信頼」

従来のセキュリティモデルでは、localhostは「信頼できるローカル環境」として扱われてきた。しかしAIエージェントがWebを閲覧し、その閲覧結果をもとにlocalhostのサービスと通信できる構成では、この前提は崩壊する。悪意あるWebページがAIエージェントを「使って」localhostにリクエストを送れるからだ。

2. AutoGen StudioのMCP WebSocket認証欠如

AutoGen StudioがローカルにホストするMCP WebSocketエンドポイントには、デフォルト状態で認証機構が存在しない。つまり、エージェントが到達できる範囲にあれば、認証なしにプロセス実行を含む操作を呼び出せる。

3. 安全でないパラメータ処理

MCP経由でツールを呼び出す際のパラメータが適切に検証・サニタイズされていないため、攻撃者が用意した悪意あるWebページ上の内容が、そのままホストOSで実行するコマンドに組み込まれる。プロンプトインジェクションとシステム操作が繋がる瞬間だ。

攻撃の流れ(概要)

  • 攻撃者が細工した悪意あるWebページを用意する
  • AIブラウジングエージェントがそのページを閲覧する(ユーザー指示または自律動作)
  • ページに埋め込まれたプロンプトインジェクションがエージェントの動作を乗っ取る
  • エージェントがlocalhost上のAutoGen Studio MCP WebSocketに細工したリクエストを送信
  • ホストOSで任意のプロセスが実行される(RCE成立)

日本のIT現場への影響

AIエージェント活用を検討中の組織に直撃する問題

「AIエージェントにWebリサーチをさせよう」「ブラウザを自動操作して業務効率化しよう」という取り組みは、国内でも急速に広がっている。AutoJackが示すのは、そのユースケース自体に根本的なリスクが内在しているという事実だ。エージェントが閲覧するすべてのページが、実質的な攻撃面(アタックサーフェス)になりうる。

開発・検証環境こそ狙われやすい

AutoGen StudioのようなAI開発ツールは、開発者のローカルマシンや検証環境で動かすことが多い。「本番じゃないから」という油断が最も危ない。開発者のマシンが侵害されれば、ソースコード・シークレット・クラウド認証情報がまとめて流出するリスクがある。

即座に取れる対策

  • AIエージェントに閲覧させるURLを許可リストで制限する(無制限のWebブラウジングは最もリスクが高い)
  • ローカルホスト上のMCPサーバーには必ず認証を実装する(トークンベース認証 or ソケットレベルの制限)
  • エージェントの実行プロセスに最小権限原則を適用する(Rootや管理者権限で動かさない)
  • AIフレームワークのアップデートを迅速に適用する(AutoGen Studioも含め、今後パッチが展開される見込み)
  • プロンプトインジェクション対策のレイヤーを設ける(入力コンテンツの検証・サニタイズ)

筆者の見解

セキュリティの話はどちらかというと得意分野ではないが、AutoJackには純粋に技術的な興味を引かれた。これは「AIが新しい攻撃面を生む」という抽象論ではなく、「なぜlocalhostが信頼できるという前提が崩れるのか」を具体的なコードレベルで示した優れた研究だと思う。

ゼロトラストの文脈で言えば、AutoJackはまさに「ネットワーク境界への信頼」の終わりを象徴している。localhostだから安全、という考え方はもはや通用しない。AIエージェントという「代理人」がいる環境では、その代理人が辿り着ける場所はすべて攻撃面になる。認証・認可はリソースの種類に関わらず一貫して実装しなければならない。

もう一点気になるのは、Non-Human Identity(NHI)管理との関係だ。AIエージェントは人間の代わりに動くが、そのIDと権限管理は多くの現場でまだ整備されていない。エージェントが「誰として」「何の権限で」動くかを管理できていなければ、AutoJackのような攻撃が成功したときの被害範囲を限定できない。自動化を進めるほど、NHI管理の整備は急務になる。

Microsoftがこのような攻撃研究を自ら公開し、AI時代のセキュリティリスクを業界全体に示そうとしていることは評価したい。研究を研究で終わらせず、AutoGen StudioをはじめとするMicrosoftのAI開発ツールへの実際の修正と、開発者向けのガイドラインとして結実させることを期待している。

出典: この記事は AutoJack: How a single page can RCE the host running your AI agent の内容をもとに、筆者の見解を加えて独自に執筆したものです。