Dunia keamanan siber kembali menyoroti kerentanan pada kerangka kerja agen kecerdasan buatan (AI). Sebuah rantai eksploitasi baru yang dikenal dengan nama AutoJack telah ditemukan, yang memungkinkan agen AI berbasis web untuk memicu eksekusi kode jarak jauh atau Remote Code Execution (RCE) di tingkat host. Ancaman ini muncul ketika agen peramban mengakses halaman web berbahaya yang kemudian membuka koneksi WebSocket ke server Model Context Protocol (MCP) lokal.
Masalah utama terletak pada cara agen AI beroperasi secara lokal. Karena agen tersebut berjalan di lingkungan lokal, ia secara otomatis memenuhi daftar izin asal (origin allowlists) yang biasanya dirancang untuk memblokir situs web eksternal agar tidak dapat mengakses layanan lokal. Kondisi ini menciptakan celah keamanan yang signifikan di mana peramban yang terinfeksi dapat menjembatani komunikasi berbahaya langsung ke sistem host.
Lebih lanjut, ditemukan bahwa bidang kontrol MCP pada versi pengembangan (development build) tidak memiliki mekanisme otentikasi yang memadai. Tanpa validasi yang ketat, parameter server yang tidak terverifikasi dapat disalahgunakan untuk meluncurkan proses sistem secara langsung, seperti PowerShell pada Windows atau Bash pada lingkungan Unix dan Linux. Hal ini memberikan penyerang kendali penuh atas sistem yang menjalankan agen AI tersebut.
Microsoft, sebagai pengembang utama AutoGen, telah merespons temuan ini dengan melakukan penguatan pada cabang utama kode mereka untuk mencegah koneksi yang tidak sah dan injeksi perintah. Perusahaan menegaskan bahwa pengguna yang menginstal perangkat lunak melalui Python Package Index (PyPI) tetap aman, karena kode WebSocket MCP yang rentan tersebut tidak pernah disertakan dalam rilis stabil yang dipublikasikan untuk umum.
Meskipun ancaman ini telah dimitigasi pada versi stabil, insiden ini menjadi peringatan keras bagi para pengembang framework agen AI lainnya. Para ahli keamanan menyarankan agar setiap agen AI dijalankan di dalam kontainer yang terisolasi (sandbox) untuk membatasi dampak jika terjadi kompromi. Selain itu, semua parameter alat yang dapat diakses melalui web harus selalu diperlakukan sebagai input yang tidak tepercaya (untrusted).
Keamanan dalam ekosistem AI menjadi prioritas utama seiring dengan adopsi teknologi otonom yang semakin luas. Pengembang harus menerapkan prinsip 'zero trust' dalam arsitektur agen mereka, memastikan setiap interaksi antara komponen berbasis web dan sistem lokal melalui pemeriksaan keamanan yang ketat. Langkah mitigasi yang proaktif akan sangat krusial untuk mencegah eksploitasi di masa depan yang dapat membahayakan data dan infrastruktur pengguna.