Amazon Bedrock等AI平臺存在嚴重安全漏洞可致數(shù)據(jù)泄露

網(wǎng)絡安全研究人員披露了一種利用域名系統(tǒng)（DNS）查詢從人工智能代碼執(zhí)行環(huán)境中竊取敏感數(shù)據(jù)的新方法。

BeyondTrust公司在周一發(fā)布的報告中透露，Amazon Bedrock AgentCore Code Interpreter的沙盒模式允許出站DNS查詢，攻擊者可以利用這一點啟用交互式shell并繞過網(wǎng)絡隔離。該問題沒有CVE標識符，CVSS評分為7.5分（滿分10分）。

Amazon Bedrock AgentCore Code Interpreter是一項完全托管的服務，使智能體能夠在隔離的沙盒環(huán)境中安全地執(zhí)行代碼，確保智能體工作負載無法訪問外部系統(tǒng)。該服務于2025年8月由亞馬遜推出。

盡管配置為"無網(wǎng)絡訪問"，該服務仍允許DNS查詢，這一事實可能讓"威脅行為者在某些情況下建立命令控制通道并通過DNS進行數(shù)據(jù)竊取，繞過預期的網(wǎng)絡隔離控制"，BeyondTrust首席安全架構師Kinnaird McQuade表示。

在實驗攻擊場景中，威脅行為者可以濫用此行為設置使用DNS查詢和響應的雙向通信通道，獲得交互式反向shell，如果其IAM角色有權限訪問存儲該數(shù)據(jù)的S3存儲桶等AWS資源，則通過DNS查詢竊取敏感信息，并執(zhí)行命令。

此外，DNS通信機制還可能被濫用來傳遞額外載荷，這些載荷被送入Code Interpreter，導致其輪詢DNS命令控制服務器以獲取存儲在DNS A記錄中的命令，執(zhí)行這些命令，并通過DNS子域查詢返回結果。

值得注意的是，Code Interpreter需要IAM角色來訪問AWS資源。然而，一個簡單的疏忽可能導致為服務分配過度特權的角色，授予其訪問敏感數(shù)據(jù)的廣泛權限。

BeyondTrust表示："這項研究展示了DNS解析如何破壞沙盒代碼解釋器的網(wǎng)絡隔離保證。通過使用這種方法，攻擊者可能從Code Interpreter的IAM角色可訪問的AWS資源中竊取敏感數(shù)據(jù)，可能造成停機、客戶敏感信息數(shù)據(jù)泄露或基礎設施被刪除。"

在2025年9月負責任披露后，亞馬遜已確定這是預期功能而非缺陷，敦促客戶使用VPC模式而非沙盒模式來實現(xiàn)完全網(wǎng)絡隔離。這家科技巨頭還建議使用DNS防火墻來過濾出站DNS流量。

Sectigo高級研究員Jason Soroko表示："為了保護敏感工作負載，管理員應盤點所有活躍的AgentCore Code Interpreter實例，并立即將處理關鍵數(shù)據(jù)的實例從沙盒模式遷移到VPC模式。在VPC內運行提供了強大網(wǎng)絡隔離所需的必要基礎設施，允許團隊實施嚴格的安全組、網(wǎng)絡ACL和Route53解析器DNS防火墻來監(jiān)控和阻止未授權的DNS解析。最后，安全團隊必須嚴格審計附加到這些解釋器的IAM角色，嚴格執(zhí)行最小權限原則以限制任何潛在妥協(xié)的爆炸半徑。"

這一披露之際，Miggo Security披露了LangSmith中的一個高嚴重性安全漏洞（CVE-2026-25750，CVSS評分：8.5），該漏洞使用戶面臨潛在的令牌盜竊和賬戶接管風險。該問題影響自托管和云部署，已在2025年12月發(fā)布的LangSmith版本0.12.71中得到解決。

該缺陷被描述為由于缺乏對baseUrl參數(shù)驗證而導致的URL參數(shù)注入案例，使攻擊者能夠通過社會工程技術（如誘騙受害者點擊特制鏈接）竊取登錄用戶的bearer令牌、用戶ID和工作空間ID并傳輸?shù)狡淇刂频姆掌鳌?/p>

成功利用該漏洞可能允許攻擊者未經(jīng)授權訪問AI的跟蹤歷史，以及通過審查工具調用暴露內部SQL查詢、CRM客戶記錄或專有源代碼。

Miggo研究員Liad Eliyahu和Eliana Vuijsje表示："登錄的LangSmith用戶僅通過訪問攻擊者控制的網(wǎng)站或點擊惡意鏈接就可能被妥協(xié)。這個漏洞提醒我們，AI可觀測性平臺現(xiàn)在是關鍵基礎設施。由于這些工具優(yōu)先考慮開發(fā)者靈活性，它們經(jīng)常無意中繞過安全防護。這種風險加劇是因為，像'傳統(tǒng)'軟件一樣，智能體對內部數(shù)據(jù)源和第三方服務有深度訪問權限。"

SGLang也被標記存在安全漏洞。SGLang是一個流行的開源框架，用于服務大語言模型和多模態(tài)AI模型。如果成功利用，可能觸發(fā)不安全的pickle反序列化，可能導致遠程代碼執(zhí)行。

這些漏洞由Orca安全研究員Igor Stepansky發(fā)現(xiàn)，截至撰寫本文時仍未修復。漏洞簡要描述如下：

CVE-2026-3059（CVSS評分：9.8）- 通過ZeroMQ代理的未經(jīng)身份驗證的遠程代碼執(zhí)行漏洞，該代理使用pickle.loads()反序列化不可信數(shù)據(jù)而無需身份驗證。它影響SGLang的多模態(tài)生成模塊。

CVE-2026-3060（CVSS評分：9.8）- 通過分解模塊的未經(jīng)身份驗證的遠程代碼執(zhí)行漏洞，該模塊使用pickle.loads()反序列化不可信數(shù)據(jù)而無需身份驗證。它影響SGLang的編碼器并行分解系統(tǒng)。

CVE-2026-3989（CVSS評分：7.8）- 在SGLang的"replay_request_dump.py"中使用不安全的pickle.load()函數(shù)而無驗證和適當?shù)姆葱蛄谢赏ㄟ^提供惡意pickle文件來利用。

Stepansky表示："前兩個允許對任何向網(wǎng)絡暴露其多模態(tài)生成或分解功能的SGLang部署進行未經(jīng)身份驗證的遠程代碼執(zhí)行。第三個涉及崩潰轉儲重放實用程序中的不安全反序列化。"

CERT協(xié)調中心（CERT/CC）在協(xié)調通報中表示，當啟用多模態(tài)生成系統(tǒng)時，SGLang容易受到CVE-2026-3059攻擊，當啟用編碼器并行分解系統(tǒng)時，容易受到CVE-2026-3060攻擊。

CERT/CC表示："如果滿足任一條件且攻擊者知道ZMQ代理監(jiān)聽的TCP端口并可向服務器發(fā)送請求，他們可以通過向代理發(fā)送惡意pickle文件來利用該漏洞，代理隨后將反序列化它。"

建議SGLang用戶限制對服務接口的訪問，確保它們不暴露給不可信網(wǎng)絡。還建議實施足夠的網(wǎng)絡分段和訪問控制，以防止與ZeroMQ端點的未授權交互。

雖然沒有證據(jù)表明這些漏洞在野外被利用，但監(jiān)控ZeroMQ代理端口的意外入站TCP連接、SGLang Python進程生成的意外子進程、SGLang進程在異常位置創(chuàng)建文件以及SGLang進程到意外目的地的出站連接至關重要。

Q&A

Q1：Amazon Bedrock AgentCore Code Interpreter的安全問題是什么？

A：該服務的沙盒模式存在安全漏洞，盡管配置為"無網(wǎng)絡訪問"，但仍允許出站DNS查詢。攻擊者可利用此漏洞建立命令控制通道，通過DNS進行數(shù)據(jù)竊取，繞過網(wǎng)絡隔離控制，CVSS評分達7.5分。

Q2：LangSmith的CVE-2026-25750漏洞有什么危害？

A：這是一個高嚴重性漏洞（CVSS評分8.5），由URL參數(shù)注入導致。攻擊者可通過社會工程技術誘騙用戶點擊惡意鏈接，竊取登錄用戶的bearer令牌、用戶ID和工作空間ID，進而獲得未授權訪問AI跟蹤歷史等敏感信息的能力。

Q3：SGLang框架存在哪些嚴重漏洞？

A：SGLang存在三個主要漏洞：CVE-2026-3059和CVE-2026-3060都是CVSS評分9.8的遠程代碼執(zhí)行漏洞，分別影響多模態(tài)生成模塊和編碼器并行分解系統(tǒng)；CVE-2026-3989是CVSS評分7.8的不安全反序列化漏洞。這些漏洞目前尚未修復。