Laptopscherm met een geopende terminal en commandoregel
Nieuws19 juni · 18:155 min leestijd

AutoJack: hoe één webpagina via je AI-agent code op je server uitvoert

Microsoft beschrijft AutoJack, een aanvalsketen waarmee een kwaadaardige webpagina een lokaal draaiende AI-agent misbruikt om opdrachten uit te voeren op de host. De echte les gaat verder dan één tool.

Microsoft Security publiceerde op 18 juni een eigen onderzoek naar een aanvalsketen die het AutoJack noemt. Het komt hierop neer: een AI-agent die zelfstandig webpagina's bezoekt, kan door een kwaadaardige pagina worden verleid om opdrachten uit te voeren op de computer waarop die agent draait. Geen phishingmail, geen kwaadaardige bijlage, alleen een link die de agent opent.

Het doelwit in het onderzoek is AutoGen Studio, de open-source ontwikkelinterface bij Microsofts eigen multi-agent-framework AutoGen. Maar wie de conclusie afdoet als een probleem van één tool, mist het punt. AutoJack laat een structurele zwakte zien in hoe AI-agenten met lokale diensten praten, en dat raakt iedereen die agenten zelf draait.

Hoe de aanval werkt

AutoJack koppelt drie fouten aan elkaar. Stuk voor stuk klein, samen genoeg voor volledige overname.

  1. Localhost als vals vertrouwen. De MCP-WebSocket van AutoGen Studio accepteert verbindingen van 127.0.0.1 en localhost, in de veronderstelling dat dit kwaadwillende websites buitensluit. Maar een agent die lokaal draait, voldoet aan die check, ook als hij door een externe pagina wordt aangestuurd.
  2. Authenticatie die wordt overgeslagen. De authenticatielaag sloeg de MCP-paden bewust over, ervan uitgaande dat de handler zelf tokens zou controleren. Dat gebeurde niet: de socket accepteerde onbeveiligde verbindingen, ongeacht de ingestelde authenticatiemodus.
  3. Opdrachten zonder filter. Het eindpunt nam een parameter aan, decodeerde die en gaf het commando rechtstreeks door aan het besturingssysteem, zonder lijst van toegestane programma's.

In de proof of concept voerde een onschuldige samenvattings-agent het programma calc.exe uit op het bureaublad van de ontwikkelaar, enkel doordat de agent een aanvallers-URL bezocht. Calc.exe is hier het onschuldige bewijs; op die plek had ook elk ander commando kunnen staan, uitgevoerd onder het account van de gebruiker.

Belangrijk: wie liep echt risico

Nuance is hier op zijn plaats, want paniek is niet nodig. De kwetsbare route zat nooit in de stabiele PyPI-release (0.4.2.2). Alleen pre-release ontwikkelbouwsels (0.4.3.dev1 en 0.4.3.dev2) en builds rechtstreeks van de main-branch droegen het lek. Microsoft dichtte het in commit b047730 voordat er een stabiele versie mee uitkwam, kende geen CVE toe en zag geen misbruik in het wild. Wie pip install autogenstudio gebruikt, kreeg altijd de veilige versie; wie van een ontwikkelbouwsel draait, haalt de main-branch op vanaf die hardening-commit of later.

Waarom dit groter is dan AutoGen Studio

De kern is een klassiek beveiligingsprobleem dat in het AI-tijdperk terugkeert: het verwarde-hulpje. Een agent heeft twee bevoegdheden die los van elkaar onschuldig zijn, browsen op het open web en praten met een bevoorrechte lokale dienst, maar samen gevaarlijk worden. De aanvaller heeft zelf geen toegang tot je machine; hij laat de agent, die dat vertrouwen wel heeft, het vuile werk doen.

De les die Microsoft zelf trekt is scherp: localhost is geen vertrouwensgrens zodra een agent niet-vertrouwde inhoud kan laden. Dat is precies het patroon dat dit jaar telkens terugkomt rond zelfgehoste AI-infrastructuur. De kritieke Langflow-kwetsbaarheid CVE-2026-5027 die actief werd misbruikt en de drie LiteLLM-lekken die gewone gebruikers admin-rechten en code-uitvoering op je AI-gateway gaven hebben dezelfde signatuur: een AI-component die te veel vertrouwt en te weinig controleert.

Wat betekent dit voor jou

Draai je AI-agenten zelf, eventueel met lokale MCP-diensten, dan zijn de bouwstenen van AutoJack ook in jouw opstelling mogelijk. Drie dingen die je nu kunt nalopen:

AutoJack is geen incident om wakker van te liggen, maar wel een waarschuwing om serieus te nemen. De aantrekkingskracht van agenten is juist dat ze zelfstandig dingen doen, web bezoeken, tools aanroepen, code draaien. Diezelfde zelfstandigheid is het aanvalsoppervlak. Wie agenten in productie zet, ontwerpt vanaf dag één voor het scenario dat een agent precies datgene doet wat een aanvaller wil, en zorgt dat de schade dan klein blijft.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilig AI-agenten draaien

Ik help bedrijven hun AI-agenten en automatisering end-to-end opzetten, van meedenken over het ontwerp tot bouwen, hardenen en self-hosted draaien waar dat kan. Zo houd je de regie en blijft de schade klein als er iets misgaat.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien
Nieuws
5 min

27 jun 22:42

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien

Mozilla's 0DIN toont hoe een schijnbaar schone GitHub-repo een AI-coderingsagent als Claude Code malware laat uitvoeren, simpelweg door hem een fout te laten oplossen. Elk bedrijf dat AI-codering inzet, moet zijn beleid herzien.

Je AI-toolchain is je nieuwe aanvalsoppervlak
Inzicht
8 min

20 jun 09:00

Je AI-toolchain is je nieuwe aanvalsoppervlak

Van npm-pakketten tot IDE-plugins tot zelfgehoste gateways: elke laag van je AI-stack is een actief aanvalspad geworden. Zonder supply chain beleid loop je nu al risico.

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen
Gids
10 min

19 jun 17:05

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen

De meeste aanvallen mikken op de basis, niet op geniale hacks. Met deze basischeck in vijf lagen breng je credentials, netwerk, supply chain, AI-tools en herstelplan in een halve dag op orde.

De CO2 van je AI-gebruik is jouw Scope 3, niet het probleem van je leverancier
Inzicht
7 min

11 jul 13:05

De CO2 van je AI-gebruik is jouw Scope 3, niet het probleem van je leverancier

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag
Inzicht
8 min

11 jul 09:00

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag

In dezelfde week zette Microsoft eigen modellen in Excel om OpenAI-kosten te drukken en maakte het GPT-5.6 voorkeursmodel in Copilot. Geen tegenspraak, maar een strategie: zelfs de grootste inkoper kiest geen AI-leverancier, hij routeert per taak. Waarom welke leverancier de verkeerde vraag is.

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters
Nieuws
4 min

11 jul 06:10

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters

Microsofts eigen duurzaamheidsrapport bevestigt een kwart meer CO2-uitstoot in één jaar, tot 20 miljoen ton, door de bouw van datacenters voor AI. Voor bedrijven die Azure in hun CSRD-rapportage meenemen, groeit de eigen scope 3 mee.