สรุปสั้น
นักวิจัยของบริษัท Microsoft เปิดเผยห่วงโซ่การโจมตี (exploit chain) ชื่อ AutoJack ที่เปลี่ยน AI browsing agent ให้กลายเป็นพาหะส่งการรันโค้ดทางไกล (remote code execution) ลงเครื่องโฮสต์ เพียงชี้นำให้ agent โหลดเว็บเพจของผู้โจมตี JavaScript บนหน้านั้นก็สามารถติดต่อ local service ที่มีสิทธิ์สูงบนเครื่องเดียวกัน และสั่งสร้างโปรเซสบนโฮสต์ได้ทันที โดยไม่ต้องใช้รหัสผ่าน ไม่มีหน้าจอล็อกอิน และไม่ต้องอาศัยการกระทำใด ๆ จากผู้ใช้เพิ่มเติมเมื่อ agent เปิดหน้านั้นแล้ว ผู้โจมตีเพียงทำให้ agent เปิดลิงก์ ผ่านลิงก์ที่ฝังไว้ ช่องกรอก URL หรือ prompt injection ก็พอ ช่องโหว่อยู่ใน AutoGen Studio ซึ่งเป็นอินเทอร์เฟซต้นแบบแบบโอเพนซอร์สของเฟรมเวิร์ก multi-agent AutoGen จาก Microsoft Research จุดสำคัญคือไม่ใช่ทุกคนที่ติดตั้งแพ็กเกจจะโดน เพราะ build เสถียร 0.4.2.2 ที่ได้จากการ pip install autogenstudio ตามปกติ ไม่มีเส้นทาง Model Context Protocol (MCP) เลย แต่ตัว handler ที่มีช่องโหว่ถูกปล่อยขึ้น PyPI จริงในเวอร์ชัน pre-release สองตัวคือ 0.4.3.dev1 และ 0.4.3.dev2 ซึ่งยังไม่ถูกถอนออก
Microsoft ระบุว่านี่เป็นงานวิจัย ไม่ใช่แคมเปญโจมตีจริง และยังไม่พบการใช้ประโยชน์ในวงกว้าง โดยโค้ดที่แก้ไขแล้วอยู่ใน GitHub main ที่ commit b047730 (PR #7362) แต่ยังไม่ถูกปล่อยเป็นรีลีสบน PyPI ผู้ที่ติดตั้ง pre-release จึงยังไม่มีรีลีสที่แพตช์แล้วให้ย้ายไป ต้องดึงจาก GitHub main โดยตรง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 19 มิถุนายน 2569 ว่านักวิจัยของบริษัท Microsoft ได้อธิบายห่วงโซ่การโจมตีชื่อ AutoJack ที่เปลี่ยน AI browsing agent ให้เป็นเครื่องมือส่งมอบการรันโค้ดทางไกลบนเครื่องโฮสต์ หลักการคือเมื่อชี้นำให้ agent โหลดเว็บเพจของผู้โจมตี โค้ด JavaScript บนหน้านั้นสามารถเข้าถึง local service ที่มีสิทธิ์สูงบนเครื่องเดียวกัน และสั่งให้สร้างโปรเซสบนโฮสต์ได้ โดยไม่ต้องมี credential ไม่มีหน้าล็อกอิน และไม่ต้องการการโต้ตอบจากผู้ใช้เพิ่มเติม
ช่องโหว่อยู่ใน AutoGen Studio ซึ่งเป็นเครื่องมือต้นแบบแบบโอเพนซอร์สของเฟรมเวิร์ก multi-agent AutoGen จาก Microsoft Research รายละเอียดเรื่องการแพ็กเกจเป็นเรื่องที่ต้องเข้าใจให้ถูกต้อง การรัน pip install autogenstudio แบบปกติจะได้รีลีสเสถียรปัจจุบันคือ 0.4.2.2 ซึ่งเป็น build ที่ Microsoft ตรวจสอบ และไม่มีเส้นทาง MCP เลย นี่คือพื้นฐานของคำแถลงของ Microsoft ที่ว่าพื้นผิว MCP WebSocket ที่มีช่องโหว่ “ไม่เคยถูกรวมอยู่ในรีลีสบน PyPI” ซึ่งเป็นจริงสำหรับ build เสถียร แต่ตัว handler ที่มีช่องโหว่ถูกปล่อยขึ้น PyPI จริงในสอง pre-release builds คือ 0.4.3.dev1 และ 0.4.3.dev2 โดย The Hacker News ได้ดาวน์โหลดและตรวจสอบทั้งสองตัวพบว่าเส้นทาง MCP WebSocket มีอยู่จริง handler รับคำสั่งที่จะรันตรงจาก request และไม่มีการตรวจสอบตัวตนของผู้เรียก ทั้งสอง build นี้ยังไม่ถูกถอนออก เนื่องจาก pip จะไม่ติดตั้ง pre-release เว้นแต่จะใส่ --pre หรือ pin เวอร์ชัน การติดตั้งแบบปกติจึงไม่เคยถูกเปิดเผยต่อช่องโหว่ แต่ใครก็ตามที่ติดตั้ง pre-release เหล่านี้คือผู้ที่เสี่ยง
รายละเอียดช่องโหว่
AutoJack ร้อยจุดอ่อนสามอย่างใน MCP WebSocket เข้าด้วยกัน
จุดแรก socket ไว้ใจ localhost ซึ่งเดิมเป็นการตรวจสอบที่ออกแบบมาเพื่อสกัดเบราว์เซอร์ทั่วไปที่ชี้ไปยังเว็บไซต์อันตราย แต่ browsing agent ที่รันอยู่บนเครื่องเดียวกันก็คือ localhost ดังนั้นทุกอย่างที่มันโหลดเข้ามาจะสืบทอดตัวตน localhost และผ่านการตรวจสอบนี้ไปได้
จุดที่สอง authentication middleware ข้ามเส้นทาง MCP โดยตั้งสมมติฐานว่า handler จะตรวจสอบ token เอง แต่มันไม่เคยทำ socket จึงรับการเชื่อมต่อแบบไม่ผ่านการยืนยันตัวตนไม่ว่าจะตั้งค่าโหมด auth ไว้อย่างไร
จุดที่สาม endpoint รับคำสั่งตรงจากพารามิเตอร์ของ request แล้วรันทันที โดยไม่มี allowlist ว่า executable ตัวใดได้รับอนุญาตให้เปิด เมื่อนำสามจุดมารวมกัน เว็บเพจบนอินเทอร์เน็ตเปิดที่ถูก local agent เรนเดอร์ ก็สามารถรันคำสั่งที่ผู้โจมตีเลือกภายใต้บัญชีที่รัน AutoGen Studio ได้ Proof of Concept ที่ใช้สาธิตคือ agent ชื่อ “Web Content Summarizer” ที่เมื่อป้อน URL ของผู้โจมตีเข้าไปจะเปิด calc.exe ขึ้นบนเดสก์ท็อปของนักพัฒนา โดยถูกเปิดด้วยโปรเซสของ AutoGen Studio เอง
ฝั่งผู้พัฒนาได้แก้ไขโค้ดใน GitHub main ที่ commit b047730 (PR #7362) handler ที่แก้แล้วจะไม่อ่านคำสั่งจาก URL อีกต่อไป โดยพารามิเตอร์จะถูกเก็บไว้ฝั่งเซิร์ฟเวอร์หลัง session ID แบบใช้ครั้งเดียว และ ID ที่ไม่รู้จักจะถูกปฏิเสธ เส้นทาง MCP ตอนนี้ผ่านเส้นทางการยืนยันตัวตนตามปกติ แต่การแก้นี้ยังไม่ลงในรีลีสบน PyPI Microsoft ยังชี้ว่าเคยเห็นรูปแบบเดียวกันเมื่อเดือนก่อนใน ChatGPhish ที่หน้าสรุปของ ChatGPT กลายเป็นช่องทาง phishing และในงานวิจัย Semantic Kernel RCE ที่ติดตามเป็น CVE-2026-26030 และ CVE-2026-25592
ผลกระทบต่อไทย
นักพัฒนาและทีม AI ในไทยที่กำลังทดลองสร้าง AI agent หรือ multi-agent framework กำลังเพิ่มขึ้นอย่างรวดเร็ว AutoGen Studio เป็นหนึ่งในเครื่องมือต้นแบบยอดนิยมสำหรับงานลักษณะนี้ องค์กรหรือนักพัฒนาที่ติดตั้ง pre-release 0.4.3.dev1 หรือ dev2 บนเครื่องที่รัน browsing agent ซึ่งเข้าถึงเนื้อหาจากอินเทอร์เน็ตที่ไม่น่าเชื่อถือ จึงมีความเสี่ยงถูกรันโค้ดบนเครื่องได้ทันที สิ่งที่น่ากังวลกว่าตัวช่องโหว่เฉพาะจุดคือรูปแบบของปัญหา เพราะ Microsoft คาดว่าจะพบโครงสร้างเดียวกันในเฟรมเวิร์ก AI agent ตัวอื่น ๆ คือมี local service ที่มีสิทธิ์มากเกินไป มีการตรวจ localhost ที่ถูกใช้แทนระบบรักษาความปลอดภัย และมี agent ที่เปิดหน้าเว็บที่ไม่น่าเชื่อถือ องค์กรไทยที่นำ AI agent มาใช้ในงานจริงควรประเมินสถาปัตยกรรมเหล่านี้ตั้งแต่ต้น
คำแนะนำ
หากติดตั้งแบบปกติด้วย pip install autogenstudio จะได้ 0.4.2.2 ซึ่งไม่มีเส้นทาง MCP จึงไม่ได้รับผลกระทบ หากเคยติดตั้ง pre-release ให้ถือว่ามี handler ที่มีช่องโหว่และยังไม่มีรีลีส PyPI ที่แพตช์แล้ว ต้องดึงจาก GitHub main ที่ commit b047730 หรือใหม่กว่า ซึ่งเป็นการแก้จริง
ในระหว่างที่ยังไม่มีรีลีส ให้แยกองค์ประกอบที่การโจมตีต้องใช้ออกจากกัน อย่ารัน AutoGen Studio บนเครื่องเดียวกับ browsing หรือ code-execution agent ที่สัมผัสเนื้อหาที่ไม่น่าเชื่อถือ เพราะห่วงโซ่นี้ทำงานได้ก็ต่อเมื่อทั้งสองอยู่บน localhost เดียวกัน หากจำเป็นต้องรันด้วยกัน ให้แยกไว้ใน container หรือ VM คนละตัว และรัน AutoGen Studio ภายใต้บัญชีที่มีสิทธิ์ต่ำ หลักการสำคัญคือ ยืนยันตัวตนของ control plane เก็บการรันโปรเซสไว้หลัง allowlist และมอบ identity ให้ agent ที่ไม่ใช่ session ของนักพัฒนาเอง เพราะเมื่อ agent สามารถท่องเว็บเปิดและเข้าถึง local service ที่มีสิทธิ์สูงได้ localhost ก็ไม่ใช่ขอบเขตความน่าเชื่อถืออีกต่อไป
