Amazon Bedrock沙盒模式曝DNS数据窃取风险
网络安全研究人员近期揭露了一种通过域名系统(DNS)查询,从AI代码执行环境窃取敏感数据的新方法。BeyondTrust发布的报告指出,Amazon Bedrock AgentCore Code Interpreter的沙盒模式允许出站DNS查询,攻击者可利用此特性建立交互式shell并绕过网络隔离。该问题未分配CVE编号,CVSS评分为7.5分(满分10分)。
Amazon Bedrock AgentCore Code Interpreter是2025年8月推出的全托管服务,旨在让AI Agent在隔离沙盒环境中安全执行代码,防止工作负载访问外部系统。BeyondTrust首席安全架构师Kinnaird McQuade表示:“尽管配置了‘无网络访问’,但该服务允许DNS查询的特性可能使威胁行为者在特定场景下建立命令控制通道,通过DNS实施数据窃取,从而绕过预期的网络隔离控制。”
在实验性攻击场景中,威胁行为者可滥用该特性:通过DNS查询与响应建立双向通信通道;获取交互式反向shell;若其IAM角色具有访问AWS资源(如存储数据的S3存储桶)权限,则可通过DNS查询窃取敏感信息;执行任意命令。
值得注意的是,攻击者还能滥用DNS通信机制向Code Interpreter投递额外载荷,使其轮询DNS命令控制(C2)服务器获取存储在DNS A记录中的指令,执行后通过DNS子域查询返回结果。虽然Code Interpreter需要IAM角色访问AWS资源,但简单的配置疏忽可能导致服务被授予过高权限,从而获得敏感数据的广泛访问权。
BeyondTrust警告称:“此研究证明DNS解析可能破坏沙盒代码解释器的网络隔离保证。攻击者可能通过此方法从Code Interpreter的IAM角色可访问的AWS资源窃取敏感数据,导致服务中断、客户敏感信息泄露或基础设施删除。”
在2025年9月负责任的披露后,亚马逊认定此为预期功能而非缺陷,建议客户使用VPC模式替代沙盒模式实现完全网络隔离,同时推荐部署DNS防火墙过滤出站DNS流量。Sectigo高级研究员Jason Soroko强调:“管理员应清点所有活跃的AgentCore Code Interpreter实例,立即将处理关键数据的实例从沙盒模式迁移至VPC模式。VPC环境支持实施严格的安全组、网络ACL和Route53解析器DNS防火墙,以监控和阻止未经授权的DNS解析。”
LangSmith存在账户接管漏洞
Miggo Security同期披露了LangSmith的高危漏洞(CVE-2026-25750,CVSS评分8.5),可能导致令牌窃取和账户接管。该漏洞影响自托管和云端部署,已在2025年12月发布的0.12.71版本中修复。
该漏洞源于baseUrl参数缺乏验证导致的URL参数注入,攻击者可通过诱导受害者点击特制链接(如 smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com)窃取登录用户的Bearer令牌、用户ID和工作区ID。成功利用可未经授权访问AI追踪历史记录,通过审查工具调用暴露内部SQL查询、CRM客户记录或专有源代码。
Miggo研究人员指出:“此漏洞提醒我们AI可观测性平台已成为关键基础设施。这些工具在优先考虑开发者灵活性的同时,往往无意间绕过了安全护栏。由于AI Agent与传统软件一样深度访问内部数据源和第三方服务,这种风险更加严重。”
SGLang存在不安全的Pickle反序列化漏洞
开源大语言模型服务框架SGLang也被发现存在安全漏洞,可能触发不安全的pickle反序列化导致远程代码执行。Orca安全研究员Igor Stepansky发现的三个漏洞目前尚未修复:
- CVE-2026-3059(CVSS评分9.8):通过ZeroMQ(ZMQ)代理的未认证远程代码执行漏洞,影响SGLang多模态生成模块
- CVE-2026-3060(CVSS评分9.8):通过解聚合模块的未认证远程代码执行漏洞,影响编码器并行解聚合系统
- CVE-2026-3989(CVSS评分7.8):
replay_request_dump.py中未经验证的不安全pickle.load()函数
CERT/CC协调公告指出,当启用多模态生成系统时SGLang易受CVE-2026-3059影响,启用编码器并行解聚合系统时易受CVE-2026-3060影响。建议用户限制服务接口访问权限,确保不暴露于不可信网络,同时实施适当的网络分段和访问控制。虽然尚未发现野外利用,但需监控ZeroMQ代理端口的异常TCP连接、SGLang Python进程生成的异常子进程等可疑活动。对于任何关键系统,网络安全永远是第一道防线。
参考来源:
AI Flaws in Amazon Bedrock, LangSmith, and SGLang Enable Data Exfiltration and RCE
https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html | 
发表于 1 小时前
|
查看: 1|
回复: 0
