Laptopscherm met een geopende terminal en commandoregel
Nieuws19 juni · 18:155 min leestijd

AutoJack: hoe één webpagina via je AI-agent code op je server uitvoert

Microsoft beschrijft AutoJack, een aanvalsketen waarmee een kwaadaardige webpagina een lokaal draaiende AI-agent misbruikt om opdrachten uit te voeren op de host. De echte les gaat verder dan één tool.

Alisina NawabiAlisina Nawabi

Microsoft Security publiceerde op 18 juni een eigen onderzoek naar een aanvalsketen die het AutoJack noemt. Het komt hierop neer: een AI-agent die zelfstandig webpagina's bezoekt, kan door een kwaadaardige pagina worden verleid om opdrachten uit te voeren op de computer waarop die agent draait. Geen phishingmail, geen kwaadaardige bijlage, alleen een link die de agent opent.

Het doelwit in het onderzoek is AutoGen Studio, de open-source ontwikkelinterface bij Microsofts eigen multi-agent-framework AutoGen. Maar wie de conclusie afdoet als een probleem van één tool, mist het punt. AutoJack laat een structurele zwakte zien in hoe AI-agenten met lokale diensten praten, en dat raakt iedereen die agenten zelf draait.

Hoe de aanval werkt

AutoJack koppelt drie fouten aan elkaar. Stuk voor stuk klein, samen genoeg voor volledige overname.

  1. Localhost als vals vertrouwen. De MCP-WebSocket van AutoGen Studio accepteert verbindingen van 127.0.0.1 en localhost, in de veronderstelling dat dit kwaadwillende websites buitensluit. Maar een agent die lokaal draait, voldoet aan die check, ook als hij door een externe pagina wordt aangestuurd.
  2. Authenticatie die wordt overgeslagen. De authenticatielaag sloeg de MCP-paden bewust over, ervan uitgaande dat de handler zelf tokens zou controleren. Dat gebeurde niet: de socket accepteerde onbeveiligde verbindingen, ongeacht de ingestelde authenticatiemodus.
  3. Opdrachten zonder filter. Het eindpunt nam een parameter aan, decodeerde die en gaf het commando rechtstreeks door aan het besturingssysteem, zonder lijst van toegestane programma's.

In de proof of concept voerde een onschuldige samenvattings-agent het programma calc.exe uit op het bureaublad van de ontwikkelaar, enkel doordat de agent een aanvallers-URL bezocht. Calc.exe is hier het onschuldige bewijs; op die plek had ook elk ander commando kunnen staan, uitgevoerd onder het account van de gebruiker.

Belangrijk: wie liep echt risico

Nuance is hier op zijn plaats, want paniek is niet nodig. De kwetsbare route zat nooit in de stabiele PyPI-release (0.4.2.2). Alleen pre-release ontwikkelbouwsels (0.4.3.dev1 en 0.4.3.dev2) en builds rechtstreeks van de main-branch droegen het lek. Microsoft dichtte het in commit b047730 voordat er een stabiele versie mee uitkwam, kende geen CVE toe en zag geen misbruik in het wild. Wie pip install autogenstudio gebruikt, kreeg altijd de veilige versie; wie van een ontwikkelbouwsel draait, haalt de main-branch op vanaf die hardening-commit of later.

Waarom dit groter is dan AutoGen Studio

De kern is een klassiek beveiligingsprobleem dat in het AI-tijdperk terugkeert: het verwarde-hulpje. Een agent heeft twee bevoegdheden die los van elkaar onschuldig zijn, browsen op het open web en praten met een bevoorrechte lokale dienst, maar samen gevaarlijk worden. De aanvaller heeft zelf geen toegang tot je machine; hij laat de agent, die dat vertrouwen wel heeft, het vuile werk doen.

De les die Microsoft zelf trekt is scherp: localhost is geen vertrouwensgrens zodra een agent niet-vertrouwde inhoud kan laden. Dat is precies het patroon dat dit jaar telkens terugkomt rond zelfgehoste AI-infrastructuur. De kritieke Langflow-kwetsbaarheid CVE-2026-5027 die actief werd misbruikt en de drie LiteLLM-lekken die gewone gebruikers admin-rechten en code-uitvoering op je AI-gateway gaven hebben dezelfde signatuur: een AI-component die te veel vertrouwt en te weinig controleert.

Wat betekent dit voor jou

Draai je AI-agenten zelf, eventueel met lokale MCP-diensten, dan zijn de bouwstenen van AutoJack ook in jouw opstelling mogelijk. Drie dingen die je nu kunt nalopen:

AutoJack is geen incident om wakker van te liggen, maar wel een waarschuwing om serieus te nemen. De aantrekkingskracht van agenten is juist dat ze zelfstandig dingen doen, web bezoeken, tools aanroepen, code draaien. Diezelfde zelfstandigheid is het aanvalsoppervlak. Wie agenten in productie zet, ontwerpt vanaf dag één voor het scenario dat een agent precies datgene doet wat een aanvaller wil, en zorgt dat de schade dan klein blijft.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilig AI-agenten draaien

Ik help bedrijven hun AI-agenten en automatisering end-to-end opzetten, van meedenken over het ontwerp tot bouwen, hardenen en self-hosted draaien waar dat kan. Zo houd je de regie en blijft de schade klein als er iets misgaat.

Meer informatie
AI-agentsBeveiligingSelf-hostedMicrosoftMCPCybersecurity

Verken verder

In dit artikel

Hoofdonderwerpen

AutoGen StudioAutoJack

Ook belangrijk

Microsoftcalc.exe

Thema's

AI-adoptie met oog voor beheersing: veiligheid, kosten en automatiseringAI-inzet zonder verrassingen: kosten, veiligheid en slimme toolkeuzesAI-kosten, veiligheid en digitale soevereiniteitAI-soevereiniteit: Europa's antwoord op Amerikaanse dominantie en de gevolgen voor het midden- en kleinbedrijfDatabricks' strategische stap: data, AI en security onder één dak

Gerelateerde artikelen

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopenGids

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen

De meeste aanvallen mikken op de basis, niet op geniale hacks. Met deze basischeck in vijf lagen breng je credentials, netwerk, supply chain, AI-tools en herstelplan in een halve dag op orde.

Lees artikel
Google lanceert ARD: open standaard waarmee AI-agenten zelf hun tools vindenNieuws

Google lanceert ARD: open standaard waarmee AI-agenten zelf hun tools vinden

Met Agentic Resource Discovery publiceert Google een open specificatie waarmee AI-agenten zelfstandig tools, skills en MCP-servers opzoeken en hun herkomst verifiëren. GitHub, Microsoft en Hugging Face doen mee.

Lees artikel
AI-agents monitoren en audit-ready houden: logging, budgetten en kill-switches instellenGids

AI-agents monitoren en audit-ready houden: logging, budgetten en kill-switches instellen

Een AI-agent handelt zelfstandig: hij roept tools aan, schrijft naar systemen en verstookt tokens. Zo richt je een audit-trail, tokenbudgetten en een noodrem in die je echt terugziet als het misgaat.

Lees artikel
Phishing herken je niet meer: verdediging begint bij je proces, niet je softwareArtikel

Phishing herken je niet meer: verdediging begint bij je proces, niet je software

AI heeft de herkenbare signalen uit phishing gesloopt: een goede nepmail is niet meer van echt te onderscheiden. Daarom begint verdediging niet bij software of scherpere medewerkers, maar bij hoe je je processen ontwerpt.

Lees artikel
Het Amsterdamse Nebius schuift de Nasdaq-100 in: een Europees compute-alternatief, of toch niet?Nieuws

Het Amsterdamse Nebius schuift de Nasdaq-100 in: een Europees compute-alternatief, of toch niet?

Nebius, het Amsterdamse AI-cloudbedrijf dat ooit uit Yandex werd losgeweekt, treedt op 22 juni toe tot de Nasdaq-100 na een omzetgroei van 684 procent. Een Europees alternatief voor AWS en Azure, of een Amerikaans verhaal met Nederlands adres?

Lees artikel
Unreal Engine 5.8 zet Claude en Gemini in de editor: AI wordt standaard in gameontwikkelingNieuws

Unreal Engine 5.8 zet Claude en Gemini in de editor: AI wordt standaard in gameontwikkeling

Epic Games koppelt met een experimentele MCP-plugin grote taalmodellen als Claude en Gemini direct aan de Unreal-editor. In UE6 wordt AI kerninfrastructuur. Wat dat betekent voor studios en bedrijven die met 3D werken.

Lees artikel
Bekijk alle artikelen