Dunia keamanan siber kembali diguncang oleh temuan celah keamanan kritis yang dikenal sebagai AutoJack. Eksploitasi ini memungkinkan situs web berbahaya untuk mengambil alih kendali agen kecerdasan buatan (AI) guna menjalankan perintah berbahaya di komputer host melalui teknik Remote Code Execution (RCE). Serangan ini memanfaatkan kelemahan dalam Model Context Protocol (MCP), sebuah standar yang digunakan agen AI untuk berinteraksi dengan data dan berbagai perangkat lunak pendukung.
Kerentanan ini berakar pada tiga kelemahan spesifik dalam implementasi MCP. Pertama, koneksi WebSocket pada protokol tersebut secara keliru memercayai semua koneksi dari localhost, termasuk aktivitas penjelajahan yang dilakukan oleh agen AI itu sendiri. Hal ini membuka celah bagi skrip berbahaya untuk menyusup ke dalam sesi yang seharusnya aman.
Masalah kedua yang ditemukan adalah absennya lapisan autentikasi pada rute-rute MCP tertentu. Tanpa verifikasi identitas yang tepat, penyerang dapat mengakses fungsi internal sistem yang seharusnya dibatasi. Kelemahan ketiga dan yang paling fatal adalah sistem yang menerima parameter perintah tanpa validasi, yang dikirimkan langsung melalui string URL, sehingga mempermudah eksekusi perintah berbahaya.
Untungnya, kode yang rentan tersebut telah diperbaiki melalui commit GitHub b047730 sebelum mencapai rilis stabil di PyPI. Meskipun telah diperbaiki, insiden ini memberikan peringatan keras bagi para pengembang mengenai risiko besar yang melekat pada alur kerja agen AI (agentic workflows). Integrasi AI yang semakin luas dalam sistem operasional memerlukan pengawasan keamanan yang jauh lebih ketat dibandingkan aplikasi konvensional.
Para administrator sistem disarankan untuk segera mengambil langkah mitigasi dengan menerapkan isolasi lingkungan pengembangan AI. Penggunaan kontainer atau profil pengguna yang di-sandbox (terisolasi) menjadi langkah krusial untuk meminimalisir dampak jika terjadi kompromi. Selain itu, Microsoft secara tegas menyarankan agar agen AI tidak dijalankan dengan hak akses sistem (privilege) yang berlebihan.
Sebagai langkah pencegahan tambahan, pengguna dan pengembang harus sangat berhati-hati saat memberikan akses ke konten web yang tidak tepercaya kepada agen AI. Mengingat AI sering kali berinteraksi dengan berbagai sumber eksternal, membatasi kemampuan agen dalam mengeksekusi kode sistem secara langsung adalah strategi pertahanan terbaik untuk menjaga integritas infrastruktur digital perusahaan maupun individu.