あなたのAIエージェントに「このページを読んで要約して」と頼む。ただそれだけの操作が、自分のパソコンを乗っ取られる引き金になるとしたら——。Microsoft の研究チームが公開した攻撃手法「AutoJack」は、AIエージェントが当たり前になりつつある今、私たちが信じてきた「自分のPCの内側は安全」という常識に静かな疑問符を突きつけました。便利さと危うさが背中合わせになる、その境界線を見にいきます。
Microsoftのセキュリティ研究チーム「Microsoft Defender Security Research Team」は、2026年6月18日、AIエージェントフレームワークの調査で発見したエクスプロイトチェーン「AutoJack」を公表した。
これは AutoGen Studio の MCP WebSocket に存在する3つの弱点(CWE-1385、CWE-306、CWE-78)を組み合わせ、ブラウジングエージェントが描画した非信頼のWebコンテンツが localhost 上のローカルサービスに到達し、ホスト上で calc.exe などの任意プロセスを起動できるというものである。同チームは挙動を Microsoft Security Response Center に報告し、メンテナーが main ブランチのコミット b047730 で修正した。pyproject.toml は 0.7.2 となる。
問題は PyPI の安定版リリース前に対処されており、公開版の autogenstudio 0.4.2.2 には該当コードは含まれない。本調査は Microsoft Defender Security Research、シャケド・イラン、Microsoft Threat Intelligence のメンバーによるものである。
From: 
AutoJack: How a single page can RCE the host running your AI agent | Microsoft Security Blog
【編集部解説】
今回 Microsoft が公開した「AutoJack」は、ひとつの脆弱性というより、AIエージェント時代の防御思想が問われる「設計パターンの警告」として読むべきものです。要約で触れた技術的な仕組みの先にある意味を、ここでは掘り下げます。
鍵になるのは「localhost(ループバック)はもう信頼境界ではない」という一文です。これまで多くの開発ツールは、「同じマシンの内側からのアクセスなら安全」という暗黙の前提に寄りかかってきました。外部のブラウザからは届かないローカルサービスでも、その内側にいるのが「Webを自由に閲覧するAIエージェント」であれば話は別です。エージェントが攻撃者のページを開いた瞬間、そのページのコードはマシンの「内側の住人」として振る舞えてしまうのです。
ここで効いてくるのが「confused deputy(混乱した代理人)」という古典的な概念です。正規の権限を持つ者(ここではエージェント)が、外部からの指示にそそのかされ、自分の権限を悪用させられてしまう構図を指します。この問題は、約40年前の1988年にノーマン・ハーディが論文で示したことで知られます。AutoJack は、その古い課題がAIエージェントという新しい器の上で再来したことを示しています。
なお、舞台となった AutoGen 自体の現況も押さえておきたいところです。AutoGen は現在メンテナンスモードにあり、Microsoft は新規開発に後継の Microsoft Agent Framework を推奨しています。AutoGen Studio も、本番運用ではなく素早い試作のためのツールとして位置づけられています。つまり今回の事案は、「実験用ツールを実験用のまま安全に扱えるか」という、開発現場の日常に直結した問いでもあるのです。
影響範囲について、過度な不安を煽らないために事実を整理します。Microsoft はこれを「研究」として位置づけ、検証は管理されたローカルの概念実証(PoC)であり、攻撃チェーンは現行ビルドでは成立しないと説明しています。実環境での悪用については、The Hacker News が「確認されていない」と報じています。攻撃が成立したのは開発版(main ブランチ)のみで、すでにコミット b047730 で修正済みです。
ただし、ここで他メディアの検証が一石を投じています。The Hacker News は、Microsoft が「脆弱な MCP WebSocket は PyPI リリースに一度も含まれていない」と説明した点について、独自にパッケージを調べ、安定版 0.4.2.2 には確かに該当コードがない一方で、プレリリース版の 0.4.3.dev1 と 0.4.3.dev2 には脆弱なハンドラが出荷されていたと報じています。
ここは少し補足が要ります。正確には、Microsoft の言う「リリース」は安定版を指しており、--pre オプションを付けて開発版(dev ビルド)を意図的に取得した場合は別、という整理になります。両者は矛盾するというより、見ている範囲が異なるのです。通常の pip install は --pre を付けない限りプレリリースを取得しないため、一般的なインストールが危険にさらされることはなかった、という骨子は揺らぎません。とはいえ、開発の最前線で先行版を試した人にとっては、修正版がまだ PyPI に届いていないという指摘は無視できないものです。「公式発表の言葉が完全に間違いではないが、現場の実態とは温度差がある」――この距離感をすくい上げるのが、私たちのような技術メディアの役割だと考えます。
長期的な視点で見ると、AutoJack が指し示すのは「個別のバグ潰し」では終わらない構造的な課題です。Microsoft 自身、先月の Semantic Kernel に関する研究(CVE-2026-26030、CVE-2026-25592)でも同種の議論を展開しており、同じ形の問題がエージェント・エコシステム全体で繰り返されると予測しています。開発ツールが強力なローカル機能を露出し、それを「localhost 限定」という前提だけで守り、その同じマシンでWebを閲覧するエージェントが動く――この三角形が崩れる構図は、フレームワークを問わず再現し得るのです。
では、何が前向きな変化を生むのでしょうか。今回の事案は、AIエージェントに「人間とは別個のアイデンティティ」を与える設計思想を後押しします。Microsoft Entra Agent ID のように、エージェントを開発者の権限から切り離し、独立した統制対象として扱うアプローチは、被害範囲を最初から限定する発想です。利便性を損なわずに安全性を底上げする現実解として、今後標準化が進む可能性があります。
規制やガバナンスへの示唆も小さくありません。エージェントが人間のセッション権限を「暗黙のうちに」引き継ぐ現状は、責任の所在を曖昧にします。誰の権限で、何が実行されたのか――この追跡可能性を担保することは、企業のコンプライアンスやAIガバナンスの観点からも避けて通れないテーマになっていくはずです。
私たちがこのニュースを今報じる理由は、ここにあります。AIエージェントが「便利な道具」から「自律的にコードを実行する存在」へと進化するなかで、私たちが当たり前としてきた安全の前提が静かに溶け始めています。AutoJack は、その溶解の最初の音を捉えた警鐘なのです。
【用語解説】
MCP(Model Context Protocol)
AIモデルやエージェントを、外部のツールやデータソースと接続するための共通規格である。エージェントが「どの道具を、どう呼び出すか」を標準化することで、さまざまなツールを差し替え可能にする。本件では、この MCP の通信経路(WebSocket)が攻撃の入口となった。
RCE(リモートコード実行/Remote Code Execution)
攻撃者が、対象のマシン上で任意のプログラムやコマンドを実行できてしまう状態を指す。被害が深刻になりやすく、セキュリティ上もっとも危険な部類の脆弱性である。
WebSocket
ブラウザとサーバーが双方向にリアルタイム通信を行うための仕組みである。一度つながると接続が維持され、データをやり取りし続けられる。本件では、ローカルで動く MCP の制御経路がこの WebSocket で公開されていた。
localhost(ループバック)
自分自身のマシンを指す内部アドレス(127.0.0.1)のことである。外部ネットワークからは直接届かないため「内側は安全」と見なされがちだが、本件はその前提が崩れることを示した。
Origin(オリジン)/許可リスト(allowlist)
Origin は、通信がどこ(どのスキーム・ホスト・ポートの組み合わせ)から来たかを示す出所情報である。許可リストは、あらかじめ決めた出所だけを通す防御策を指す。本件では、エージェント経由のアクセスがこのチェックをすり抜けた。
PyPI(Python Package Index)/pip
PyPI は Python のソフトウェアパッケージを配布する公式リポジトリ、pip はそれを導入するコマンドである。本件では、どのバージョンが配布経路に乗っていたかが論点となった。
Microsoft Agent Framework
AutoGen の後継として Microsoft が提供するエージェント開発フレームワークである。Microsoft は新規プロジェクトでの利用を推奨しており、GitHub の AutoGen README では、安定したAPIや長期サポートへのコミットメントを備える後継として説明されている。
【参考リンク】
AutoGen(microsoft/autogen|GitHub)(外部)
AutoGen と AutoGen Studio の公式リポジトリ。MIT ライセンスのオープンソースで、修正コミットもここで公開されている。
Microsoft Security Response Center(MSRC)(外部)
Microsoft 製品やプロジェクトの脆弱性報告・対応を担う公式窓口。本件の挙動もここへ報告された。
Microsoft Defender(外部)
Microsoft の統合セキュリティ製品群の公式ページ。不審な子プロセス起動などを検知する手段として紹介されている。
Microsoft Entra(外部)
ID・アクセス管理の製品群の公式ページ。エージェントを独立した統制対象として扱う Entra Agent ID を含む。
Model Context Protocol(公式サイト)(外部)
AIモデルと外部ツールを接続する規格 MCP の公式ドキュメントサイト。仕様や実装ガイドが公開されている。
PyPI: autogenstudio(外部)
AutoGen Studio のパッケージ配布ページ。安定版や各リリースのバージョンを確認できる。
Microsoft Agent Framework(外部)
AutoGen の後継にあたる、本番運用向けエージェント開発フレームワークの公式ドキュメント。
【参考動画】
【参考記事】
Microsoft says web-enabled AI agents can trigger host-level RCE(CSO Online)(外部)
Webにアクセスできるエージェントが localhost の境界を越えホスト上で任意プロセスを実行し得る点を整理した記事。
AutoJack Attack Lets One Web Page Hijack AI Agent for Host Code Execution(The Hacker News)(外部)
独自検証で安定版とプレリリース版の差異を提示。0.4.3.dev1・0.4.3.dev2 に脆弱コードがあると報じた。
Microsoft warns AI agents are being ‘AutoJack’-ed to deliver RCE payloads(TechRadar)(外部)
3つの弱点を平易にまとめ、リリース前に修正された経緯と分離の必要性を強調した記事。
Microsoft Discloses AutoJack: A Malicious Webpage Can Hijack AutoGen Studio via Localhost RCE(Windows News)(外部)
公表の時系列を明確にし、訪問のみで成立し制御をすり抜け得る点を指摘した記事。
【関連記事】
LiteLLMに脆弱性チェーン発覚、低権限ユーザーがAIゲートウェイを乗っ取り|CVSS 9.9の深刻度
開発者マシン上でRCEが成立する構造が本件と酷似。集約点への過信という論点が重なる直近の一本。
MCP脆弱性にNSAが警鐘、AnthropicのMCP InspectorでCVSS 9.4のRCE発覚
MCPが従来の信頼境界を反転させるという本件の核心を、規格・制度の側から補強する総論。
Antigravity(Google)に重大脆弱性—最高セキュリティ設定を突破するプロンプトインジェクション攻撃とは
規制がエージェントの脆弱性を従来同等に扱う前例に触れ、本記事の規制パートと呼応する。
【編集部後記】
今回のニュースで注目したいのは、Microsoft がこの研究を「攻撃の暴露」ではなく「パターンの共有」として発信している点です。
「便利だから使う」と「危ないから使わない」の二択で語られがちなAIエージェントですが、エージェントが当たり前になる時代に向けてこうした知見の共有がどれだけ積み重なっていくかはその判断の大きな鍵となっていくでしょう。その動きを、これからも追いかけていきたいと思います。
