Microsoft corrige vulnerabilidad en AutoGen Studio que permitía ejecución remota de código

Qué pasó

El equipo de seguridad de Microsoft reveló la existencia de AutoJack, una cadena de tres vulnerabilidades detectadas en AutoGen Studio, el componente gráfico de AutoGen, el marco de trabajo de código abierto de la compañía para construir sistemas de inteligencia artificial multiagente. De acuerdo con la divulgación, publicada el 22 de junio de 2026, un atacante podía manipular a un agente de navegación para que ejecutara comandos arbitrarios en el equipo del desarrollador mediante el simple hecho de que ese agente visitara una página web controlada por el atacante.

La primera de las debilidades identificadas corresponde al servidor WebSocket del Protocolo de Contexto de Modelo (MCP), que confiaba en conexiones originadas en el propio equipo local. Esta condición permitía que un agente de navegación fuera engañado para cargar código JavaScript malicioso haciéndolo pasar por una

La tercera falla permitía que el WebSocket aceptara un valor codificado en base64 desde la URL y lo trasladara al código de lanzamiento de procesos. De esta forma, un atacante podía especificar y ejecutar comandos arbitrarios en PowerShell, Bash o ejecutables directamente en el equipo afectado. Microsoft demostró el impacto abriendo la calculadora de Windows como prueba de concepto.

Según la compañía, la exposición se mantuvo acotada, ya que el problema fue identificado y corregido durante el proceso de desarrollo, antes de que el código afectado fuera publicado en el índice de paquetes Python. La última versión disponible, autogenstudio 0.4.2.2, no contiene las debilidades descritas. Únicamente los desarrolladores que compilaban AutoGen Studio directamente desde la rama principal de GitHub, en una ventana acotada anterior al commit b047730, estuvieron expuestos durante un breve período.

Contexto

AutoGen es uno de los proyectos de código abierto más relevantes en el ámbito de los sistemas multiagente, acumulando más de 59.000 estrellas y cerca de 9.000 bifurcaciones en GitHub. Su componente gráfico, AutoGen Studio, está orientado a permitir que desarrolladores prototipen agentes capaces de colaborar entre sí, utilizar herramientas, navegar por la web, ejecutar código e interactuar con sistemas externos. La creciente adopción de estos marcos de trabajo ha transformado la manera en que empresas y equipos de tecnología construyen soluciones automatizadas.

El caso de AutoJack se inserta en una tendencia más amplia de investigación en seguridad centrada en los nuevos vectores de ataque asociados a los agentes de inteligencia artificial. A medida que estas herramientas ganan autonomía para ejecutar acciones en nombre de los usuarios, los especialistas han comenzado a evaluar los riesgos derivados de concederles acceso a navegadores, terminales y servicios externos.

Microsoft ha sido uno de los actores más activos en este debate, promoviendo estándares para el desarrollo seguro de aplicaciones basadas en modelos de lenguaje. La divulgación de AutoJack se realizó de forma coordinada con el equipo del proyecto, siguiendo prácticas de divulgación responsable que reducen la ventana de exposición y permiten a los usuarios tomar medidas antes de que se produzcan explotaciones masivas.

El episodio pone de relieve la importancia de los procesos de revisión de código y de la segmentación de privilegios en herramientas experimentales. Si bien AutoGen Studio es un proyecto en evolución, su popularidad entre desarrolladores lo convierte en un blanco atractivo para actores maliciosos, lo que refuerza la necesidad de mantener prácticas estrictas de seguridad en toda la cadena de desarrollo.

Impacto para empresas chilenas

En Chile, la divulgación no genera un impacto operativo directo, dado que los usuarios que instalaron la herramienta desde el repositorio oficial de paquetes Python nunca estuvieron expuestos. No obstante, el caso constituye una alerta relevante para los equipos de tecnología locales que adoptan marcos de inteligencia artificial de código abierto en sus procesos de innovación.

Empresas y startups chilenas que experimentan con agentes autónomos deben considerar la implementación de controles adicionales, como la ejecución en entornos aislados, el monitoreo de comandos emitidos por los agentes y la restricción de privilegios sobre los sistemas donde operan. Estas medidas son particularmente relevantes para el sector financiero, las fintech y las empresas de servicios digitales, que en los últimos años han acelerado la adopción de soluciones basadas en inteligencia artificial.

Para las pymes locales, el episodio refuerza la recomendación de utilizar únicamente versiones estables y auditadas de las herramientas de inteligencia artificial, evitando la instalación de código en desarrollo que pueda contener vulnerabilidades no documentadas. Proveedores de servicios en la nube y consultoras tecnológicas del país pueden aprovechar este tipo de divulgaciones para asesorar a sus clientes y fortalecer sus propuestas de valor en materia de seguridad.

Finalmente, el caso subraya la conveniencia de que los equipos chilenos de desarrollo mantengan políticas formales de actualización y monitoreo de dependencias, así como procesos documentados para responder ante incidentes de seguridad asociados a herramientas de terceros, en línea con las prácticas internacionales.

Qué sigue

La divulgación de AutoJack probablemente impulsará nuevas investigaciones sobre la seguridad de los marcos de trabajo para agentes de inteligencia artificial, un área que aún carece de estándares consolidados. Microsoft y otros actores del sector deberán avanzar en la definición de arquitecturas más robustas, con autenticación reforzada en endpoints locales y mecanismos de validación más estrictos para los comandos ejecutados por los agentes.

En el corto plazo, se espera que los desarrolladores que mantenían bifurcaciones locales de AutoGen Studio actualicen a la versión 0.4.2.2 o posterior. A mediano plazo, la industria deberá discutir cómo equilibrar la flexibilidad experimental de estos marcos con la necesidad de resguardar la integridad de los sistemas donde se despliegan, una tensión que seguirá marcando la evolución del ecosistema de inteligencia artificial aplicada.