網路安全研究人員披露了一種利用域名系統(DNS)查詢從人工智慧代碼執行環境中竊取敏感數據的新方法。
BeyondTrust公司在周一發布的報告中透露,Amazon Bedrock AgentCore Code Interpreter的沙盒模式允許出站DNS查詢,攻擊者可以利用這一點啟用交互式shell並繞過網路隔離。該問題沒有CVE標識符,CVSS評分為7.5分(滿分10分)。
Amazon Bedrock AgentCore Code Interpreter是一項完全託管的服務,使智能體能夠在隔離的沙盒環境中安全地執行代碼,確保智能體工作負載無法訪問外部系統。該服務於2025年8月由亞馬遜推出。
儘管配置為"無網路訪問",該服務仍允許DNS查詢,這一事實可能讓"威脅行為者在某些情況下建立命令控制通道並通過DNS進行數據竊取,繞過預期的網路隔離控制",BeyondTrust首席安全架構
師Kinnaird McQuade表示。
在實驗攻擊場景中,威脅行為者可以濫用此行為設置使用DNS查詢和響應的雙向通信通道,獲得交互式反向shell,如果其IAM角色有權限訪問存儲該數據的S3存儲桶等AWS資源,則通過DNS查詢竊取敏感資訊,並執行命令。
此外,DNS通信機制還可能被濫用來傳遞額外載荷,這些載荷被送入Code Interpreter,導致其輪詢DNS命令控制伺服器以獲取存儲在DNS A記錄中的命令,執行這些命令,並通過DNS子域查詢返回結果。
值得注意的是,Code Interpreter需要IAM角色來訪問AWS資源。然而,一個簡單的疏忽可能導致為服務分配過度特權的角色,授予其訪問敏感數據的廣泛權限。
BeyondTrust表示:"這項研究展示了DNS解析如何破壞沙盒代碼解釋器的網路隔離保證。通過使用這種方法,攻擊者可能從Code Interpreter的IAM角色可訪問的AWS資源中竊取敏感數據,可能造成停機、客戶敏感資訊數據泄露或基礎設施被刪除。"
在2025年9月負責任披露後,亞馬遜已確定這是預期功能而非缺陷,敦促客戶使用VPC模式而非沙盒模式來實現完全網路隔離。這家科技巨頭還建議使用DNS防火牆來過濾出站DNS流量。
Sectigo高級研究員Jason Soroko表示:"為了保護敏感工作負載,管理員應盤點所有活躍的AgentCore Code Interpreter實例,並立即將處理關鍵數據的實例從沙盒模式遷移到VPC模式。在VPC內運行提供了強大網路隔離所需的必要基礎設施,允許團隊實施嚴格的安全組、網路ACL和Route53解析器DNS防火牆來監控和阻止未授權的DNS解析。最後,安全團隊必須嚴格審計附加到這些解釋器的IAM角色,嚴格執行最小權限原則以限制任何潛在妥協的爆炸半徑。"
這一披露之際,Miggo Security披露了LangSmith中的一個高嚴重性安全漏洞(CVE-2026-25750,CVSS評分:8.5),該漏洞使用戶面臨潛在的令牌盜竊和賬戶接管風險。該問題影響自託管和雲部署,已在2025年12月發布的LangSmith版本0.12.71中得到解決。
該缺陷被描述為由於缺乏對baseUrl參數驗證而導致的URL參數注入案例,使攻擊者能夠通過社會工程技術(如誘騙受害者點擊特製鏈接)竊取登錄用戶的bearer令牌、用戶ID和工作空間ID並傳輸到其控制的伺服器。
成功利用該漏洞可能允許攻擊者未經授權訪問AI的跟蹤歷史,以及通過審查工具調用暴露內部SQL查詢、CRM客戶記錄或專有源代碼。
Miggo研究員Liad Eliyahu和Eliana Vuijsje表示:"登錄的LangSmith用戶僅通過訪問攻擊者控制的網站或點擊惡意鏈接就可能被妥協。這個漏洞提醒我們,AI可觀測性平台現在是關鍵基礎設施。由於這些工具優先考慮開發者靈活性,它們經常無意中繞過安全防護。這種風險加劇是因為,像'傳統'軟體一樣,智能體對內部數據源和第三方服務有深度訪問權限。"
SGLang也被標記存在安全漏洞。SGLang是一個流行的開源框架,用於服務大語言模型和多模態AI模型。如果成功利用,可能觸發不安全的pickle反序列化,可能導致遠程代碼執行。
這些漏洞由Orca安全研究員Igor Stepansky發現,截至撰寫本文時仍未修復。漏洞簡要描述如下:
CVE-2026-3059(CVSS評分:9.8)- 通過ZeroMQ代理的未經身份驗證的遠程代碼執行漏洞,該代理使用pickle.loads()反序列化不可信數據而無需身份驗證。它影響SGLang的多模態生成模塊。
CVE-2026-3060(CVSS評分:9.8)- 通過分解模塊的未經身份驗證的遠程代碼執行漏洞,該模塊使用pickle.loads()反序列化不可信數據而無需身份驗證。它影響SGLang的編碼器並行分解系統。
CVE-2026-3989(CVSS評分:7.8)- 在SGLang的"replay_request_dump.py"中使用不安全的pickle.load()函數而無驗證和適當的反序列化,可通過提供惡意pickle文件來利用。
Stepansky表示:"前兩個允許對任何向網路暴露其多模態生成或分解功能的SGLang部署進行未經身份驗證的遠程代碼執行。第三個涉及崩潰轉儲重放實用程序中的不安全反序列化。"
CERT協調中心(CERT/CC)在協調通報中表示,當啟用多模態生成系統時,SGLang容易受到CVE-2026-3059攻擊,當啟用編碼器並行分解系統時,容易受到CVE-2026-3060攻擊。
CERT/CC表示:"如果滿足任一條件且攻擊者知道ZMQ代理監聽的TCP埠並可向伺服器發送請求,他們可以通過向代理髮送惡意pickle文件來利用該漏洞,代理隨後將反序列化它。"
建議SGLang用戶限制對服務接口的訪問,確保它們不暴露給不可信網路。還建議實施足夠的網路分段和訪問控制,以防止與ZeroMQ端點的未授權交互。
雖然沒有證據表明這些漏洞在野外被利用,但監控ZeroMQ代理埠的意外入站TCP連接、SGLang Python進程生成的意外子進程、SGLang進程在異常位置創建文件以及SGLang進程到意外目的地的出站連接至關重要。
Q&A
Q1:Amazon Bedrock AgentCore Code Interpreter的安全問題是什麼?
A:該服務的沙盒模式存在安全漏洞,儘管配置為"無網路訪問",但仍允許出站DNS查詢。攻擊者可利用此漏洞建立命令控制通道,通過DNS進行數據竊取,繞過網路隔離控制,CVSS評分達7.5分。
Q2:LangSmith的CVE-2026-25750漏洞有什麼危害?
A:這是一個高嚴重性漏洞(CVSS評分8.5),由URL參數注入導致。攻擊者可通過社會工程技術誘騙用戶點擊惡意鏈接,竊取登錄用戶的bearer令牌、用戶ID和工作空間ID,進而獲得未授權訪問AI跟蹤歷史等敏感資訊的能力。
Q3:SGLang框架存在哪些嚴重漏洞?
A:SGLang存在三個主要漏洞:CVE-2026-3059和CVE-2026-3060都是CVSS評分9.8的遠程代碼執行漏洞,分別影響多模態生成模塊和編碼器並行分解系統;CVE-2026-3989是CVSS評分7.8的不安全反序列化漏洞。這些漏洞目前尚未修復。
