Microsoft publicó el 18 de junio de 2026 una investigación llamada AutoJack que conviene leer con calma si estás dejando que agentes naveguen páginas externas desde tu máquina de desarrollo. El caso demuestra una cadena donde contenido web no confiable podía cruzar hacia un WebSocket MCP local en AutoGen Studio y terminar ejecutando procesos en el host.

La parte importante no es asustarse con AutoGen Studio. Microsoft aclara que la cadena descrita ya no funciona en builds actuales y la presenta para que defensores reconozcan el patrón. La lectura útil para builders es más amplia: cuando un agente con navegador corre en tu laptop, localhost deja de ser una frontera cómoda.

Ruta editorial de una página externa, un navegador agentic y un canal WebSocket local hacia un MCP control plane

Qué falló en la cadena

AutoJack combina tres supuestos que por separado parecen manejables:

un control de origen pensado para bloquear páginas externas;
rutas MCP/WebSocket que quedaban fuera del middleware de autenticación;
parámetros de servidor stdio aceptados desde una URL y ejecutados sin allowlist fuerte.

El giro agentic está en el primer punto. En un navegador humano, una página externa llega con un origen externo y la defensa puede rechazarla. En un agente de navegación, el proceso corre en la misma estación donde vive el servicio local. Si el agente carga una página maliciosa y esa página intenta hablar con localhost, ya no estás ante un usuario copiando un comando: estás ante contenido remoto usando al agente como puente.

Por qué esto importa más allá de AutoGen

Muchos equipos montan MCP servers locales, puertos de depuración, dashboards internos, sandboxes y CLIs con la idea de que "solo escuchan en mi máquina". Ese razonamiento envejece mal cuando el agente puede:

abrir URLs arbitrarias;
ejecutar código de prueba;
hacer requests desde la misma red;
leer respuestas de herramientas locales;
y encadenar todo eso en una tarea de varios pasos.

El error común es tratar el navegador del agente como una pestaña normal. No lo es. Es una herramienta con intención delegada, acceso repetible y capacidad de combinar señales que una persona quizá nunca habría unido.

Composición editorial con sandbox, allowlist de comandos y revisión humana alrededor de un control plane de agente

Checklist práctico

Si usas agentes con browser-use, Playwright, AutoGen, MCP local o cualquier harness que toque web externa, revisaría esto antes de integrarlo al flujo diario:

autenticación real en rutas locales, incluso si solo escuchan en loopback;
allowlist de comandos y servidores MCP, no parámetros arbitrarios;
separación entre navegador no confiable y control plane de herramientas;
sandbox por sesión para que un fallo muera con el entorno;
logs de cada conexión a servicios locales iniciada por el agente;
aprobación humana antes de abrir páginas elegidas por terceros cuando hay tools sensibles activas.

La intención de búsqueda es clara: AutoJack, AutoGen Studio MCP WebSocket, AI browsing agent RCE, localhost security AI agents y MCP WebSocket security. No hay tooling SEO conectado en esta corrida; la demanda se infiere por la investigación primaria de Microsoft, cobertura de seguridad y la adopción creciente de agentes que navegan sitios reales.

Si todavía estás ordenando permisos, tools y revisión humana, empieza por el curso gratis. La conclusión práctica es simple: un agente con navegador no debe compartir confianza implícita con los servicios locales que pueden ejecutar acciones.