배경 및 맥락
AI agent framework는 browser, file system, shell, API, MCP server를 한 프로세스 경계 안에서 연결한다. 이 구조는 빠른 prototype과 tool use에는 강력하지만, untrusted web content와 privileged local control plane이 같은 workstation에서 만나는 순간 전통적인 localhost trust assumption이 깨질 수 있다.
최근 cache의 MosaicLeaks는 deep research agent가 web query를 통해 private fact를 유출하는 information-flow 문제를 다뤘고, Arcade는 enterprise agent authorization layer를 다뤘다. AutoJack는 이보다 낮은 실행 계층 문제다. agent가 브라우저로 외부 페이지를 렌더링하고 동시에 local MCP endpoint에 접근할 수 있으면, 웹페이지가 agent를 confused deputy로 사용해 host-level command execution까지 이어질 수 있다.
핵심 내용
Microsoft Defender Security Research Team은 2026년 6월 18일 AutoJack 연구를 공개했다. 대상은 AutoGen Studio의 개발 빌드에 존재했던 MCP WebSocket surface이며, Microsoft는 MSRC 보고 후 upstream main branch가 hardening됐고, 해당 surface는 PyPI release에 포함되지 않았다고 밝혔다.
공개된 chain은 세 가지 약점이 결합된다. 첫째, MCP WebSocket이 localhost origin allowlist를 신뢰하지만, headless browsing agent가 로드한 악성 페이지 역시 local process 맥락에서 localhost를 만족시킬 수 있다. 둘째, AuthMiddleware가 /api/mcp/ 및 /api/ws/ paths를 건너뛰고, WebSocket handler가 별도 인증을 수행하지 않아 configured auth mode와 무관하게 MCP WebSocket이 열려 있었다. 셋째, endpoint가 server_params query parameter를 base64 decode해 StdioServerParams로 넘기고 command와 args를 실행하면서, MCP-speaking binary allowlist 없이 calc.exe, powershell, bash 같은 임의 command 실행이 가능했다.
Microsoft의 핵심 메시지는 특정 AutoGen Studio bug보다 broader pattern이다. Agent가 untrusted website를 browse하고 privileged local service와 통신할 수 있다면, origin check나 localhost-only policy만으로는 방어가 되지 않는다. Control plane은 authenticate, authorize, isolate되어야 한다.
경쟁 구도 / 비교
기존 web security에서는 localhost service가 개발자 편의를 위해 강한 인증 없이 열려 있는 경우가 많았다. 일반 browser에서는 same-origin, CORS, CSWSH 방어가 어느 정도 의미가 있지만, agent browser는 사람이 연 브라우저와 다르게 tool chain 안의 프로세스이며, 외부 content와 local tool execution을 자동으로 연결한다.
MCP와 agent framework 생태계가 확장될수록 유사한 문제가 반복될 가능성이 높다. Cloudflare Temporary Accounts 항목이 agent가 signup 없이 Workers를 배포하는 onboarding friction 제거를 보여줬다면, AutoJack는 frictionless local control plane이 어떤 execution risk를 만들 수 있는지 보여준다.
의미
산업적으로 agent security는 prompt filtering이나 model safety policy만으로 충분하지 않다. 실제 위험은 agent runtime, browser sandbox, local WebSocket, MCP server lifecycle, shell execution, credentials location 같은 software architecture에 있다. AutoJack는 agent가 강력해질수록 classical AppSec boundary를 다시 설계해야 함을 보여준다.
실무적으로 agent framework를 운영하는 팀은 MCP endpoint를 기본적으로 authenticated로 만들고, command execution은 explicit allowlist와 per-tool consent를 거치게 해야 한다. Browser-capable agent는 sandbox, network egress policy, localhost blocking, dev credential separation을 갖춰야 하며, production workstation에서 research prototype을 그대로 돌리는 관행을 줄여야 한다.