AutoJack ทำให้หน้าเว็บหนึ่งอาจขโมยเอเจนต์ AI เพื่อรันโค้ดบนโฮสต์

การวิจัยของ Microsoft เผยให้เห็น AutoJack – โซ่การโจมตีที่ทำให้เอเจนต์ AI ที่สามารถท่องเว็บได้กลายเป็นช่องทางส่งโค้ดระยะไกลเพื่อทำให้ระบบทำงานโดยอัตโนมัติ ผู้โจมตีเพียงแค่บังคับให้เอเจนต์โหลดหน้าเว็บที่เป็นของตนเอง แล้วสคริปต์ JavaScript บนหน้านั้นก็สามารถเข้าถึงบริการระดับระบบที่ทำงานบนเครื่องเดียวกันและสั่งให้สร้างกระบวนการใหม่บนโฮสต์ได้ ทั้งนี้ไม่ต้องใช้ข้อมูลประจำตัวหรือการยืนยันใด ๆ หลังจากการบังคับให้โหลดหน้าเว็บ

Overview

เอเจนต์ AI ที่รองรับการท่องเว็บ เช่น Copilot หรือ Bing Chat มีส่วนประกอบที่ทำงานเป็นบริการภายในเครื่อง (local service) เพื่อจัดการการสื่อสารกับแหล่งข้อมูลภายนอก การออกแบบนี้ทำให้เอเจนต์สามารถดึงข้อมูลจากอินเทอร์เน็ตโดยตรงโดยไม่ต้องพึ่งพาเซิร์ฟเวอร์กลาง อย่างไรก็ตามโครงสร้างที่เปิดให้บริการภายในเครื่องทำให้เกิดพื้นฐานที่อาจถูกใช้เป็นช่องโหว่ได้

จากการวิเคราะห์ของนักวิจัย Microsoft พบว่า AutoJack ใช้ประโยชน์จากการที่เอเจนต์รับคำสั่งให้เปิดหน้าเว็บใดก็ได้ ผู้โจมตีจึงสามารถสร้างหน้าเว็บที่ฝังสคริปต์ JavaScript ที่มีการเรียก API ของบริการระดับระบบได้โดยตรง ซึ่ง API เหล่านั้นมักได้รับสิทธิ์สูงกว่าปกติและสามารถสั่งให้ระบบทำงานบางอย่างได้

Technical Details

การทำงานของ AutoJack แบ่งเป็นหลายขั้นตอนหลัก ได้แก่

• ผู้โจมตีสร้างหน้าเว็บที่มีสคริปต์ JavaScript พิเศษ
• เอเจนต์ AI ถูกบังคับให้เรียก URL ของหน้าเว็บนั้นผ่านฟีเจอร์ “browse the web”
• สคริปต์บนหน้าเว็บส่งคำขอไปยัง privileged local service ที่ทำงานบนเครื่องของผู้ใช้
• บริการระดับระบบตอบสนองโดยไม่ตรวจสอบแหล่งที่มาของคำขอ และทำให้เกิดการสร้างกระบวนการใหม่ (process creation) บนโฮสต์

ขั้นตอนเหล่านี้สำเร็จโดยไม่มีการขอข้อมูลประจำตัวหรือการแสดงหน้าจอเข้าสู่ระบบใด ๆ หลังจากที่เอเจนต์ทำการโหลดหน้าเว็บแล้ว การทำงานต่อเนื่องของสคริปต์ทำให้การโจมตีเป็นอัตโนมัติและซ่อนอยู่ในกระบวนการปกติของเอเจนต์

Exploit Chain

นักวิจัยอธิบายว่าการเชื่อมต่อระหว่างเอเจนต์และบริการระดับระบบใช้ **IPC (Inter‑Process Communication) ที่ออกแบบมาเพื่อความเร็วและความสะดวก การสื่อสารนี้ไม่ได้มีการตรวจสอบต้นทางของคำขออย่างเข้มงวด ทำให้สคริปต์บนเว็บที่ถูกโหลดโดยเอเจนต์สามารถส่งคำสั่งไปยังบริการได้โดยตรง

ในเชิงเทคนิค สคริปต์ JavaScript ใช้ HTTP requests หรือ WebSocket เพื่อเรียก API ภายในเครื่อง ซึ่ง API เหล่านี้มักให้สิทธิ์การเข้าถึงไฟล์ระบบหรือการเรียกใช้คำสั่งระบบระดับผู้ดูแล (admin) การสั่งให้สร้างกระบวนการใหม่บนโฮสต์อาจทำให้ผู้โจมตีสามารถรันโค้ดใด ๆ ที่ต้องการบนเครื่องของผู้ใช้

Mitigations

Microsoft แนะนำมาตรการหลายประการเพื่อป้องกันการใช้ AutoJack

• จำกัดสิทธิ์ของ privileged local service ให้รับคำขอเฉพาะจากแหล่งที่เชื่อถือได้ (trusted origins)
• เพิ่มการตรวจสอบต้นทางของคำขอ (origin verification) ใน API ที่ให้สิทธิ์ระดับสูง
• ปรับปรุงการทำ sandbox สำหรับเอเจนต์ AI เพื่อให้สคริปต์ที่โหลดจากเว็บไม่ได้รับสิทธิ์เข้าถึง IPC ของระบบโดยตรง
• ปรับใช้การตรวจจับพฤติกรรมที่ผิดปกติ เช่น การสร้างกระบวนการใหม่โดยไม่มีการยืนยันผู้ใช้

การอัปเดตซอฟต์แวร์และการตรวจสอบความปลอดภัยอย่างต่อเนื่องเป็นสิ่งจำเป็น เนื่องจากการโจมตีเช่นนี้อาจเกิดขึ้นได้กับผลิตภัณฑ์ AI ที่มีฟีเจอร์การท่องเว็บแบบเดียวกัน

Impact

การโจมตี AutoJack แสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นเมื่อระบบ AI ถูกออกแบบให้มีการเข้าถึงทรัพยากรระดับระบบโดยตรง หากผู้ใช้หลายล้านคนใช้เอเจนต์ AI ที่มีฟีเจอร์ท่องเว็บโดยไม่ได้รับการอัปเดตหรือการป้องกันที่เหมาะสม โอกาสที่ผู้โจมตีจะใช้ช่องโหว่นี้เพื่อรันโค้ดอันตรายบนเครื่องของผู้ใช้จะเพิ่มสูงขึ้น

ผลกระทบต่อองค์กรอาจรวมถึงการสูญเสียข้อมูลสำคัญ การติดตั้งมัลแวร์ หรือการใช้เครื่องเป็นส่วนหนึ่งของเครือข่ายบอท (botnet) อย่างไม่มีการตรวจจับ การที่การโจมตีนี้ไม่ต้องการข้อมูลประจำตัวหรือการยืนยันใด ๆ ทำให้ขั้นตอนการป้องกันจากมุมมองของผู้ใช้ยากขึ้นและต้องพึ่งพาการอัปเดตจากผู้พัฒนาเป็นหลัก

Summary

AutoJack เป็นโซ่การโจมตีที่ใช้เอเจนต์ AI ที่ท่องเว็บเป็นช่องทางส่งโค้ดระยะไกลเพื่อทำให้ระบบทำงานโดยอัตโนมัติ โดยไม่ต้องใช้ข้อมูลประจำตัวหรือการยืนยันใด ๆ การเปิดเผยช่องโหว่นี้กระตุ้นให้ผู้ผลิต AI ปรับปรุงการตรวจสอบต้นทางและจำกัดสิทธิ์ของบริการระดับระบบเพื่อป้องกันการใช้ประโยชน์ในอนาคต.