Amazon Bedrock等AI平台存在严重安全漏洞可致数据泄露

网络安全研究人员披露了一种利用域名系统（DNS）查询从人工智能代码执行环境中窃取敏感数据的新方法。

BeyondTrust公司在周一发布的报告中透露，Amazon Bedrock AgentCore Code Interpreter的沙盒模式允许出站DNS查询，攻击者可以利用这一点启用交互式shell并绕过网络隔离。该问题没有CVE标识符，CVSS评分为7.5分（满分10分）。

Amazon Bedrock AgentCore Code Interpreter是一项完全托管的服务，使智能体能够在隔离的沙盒环境中安全地执行代码，确保智能体工作负载无法访问外部系统。该服务于2025年8月由亚马逊推出。

尽管配置为"无网络访问"，该服务仍允许DNS查询，这一事实可能让"威胁行为者在某些情况下建立命令控制通道并通过DNS进行数据窃取，绕过预期的网络隔离控制"，BeyondTrust首席安全架构师Kinnaird McQuade表示。

在实验攻击场景中，威胁行为者可以滥用此行为设置使用DNS查询和响应的双向通信通道，获得交互式反向shell，如果其IAM角色有权限访问存储该数据的S3存储桶等AWS资源，则通过DNS查询窃取敏感信息，并执行命令。

此外，DNS通信机制还可能被滥用来传递额外载荷，这些载荷被送入Code Interpreter，导致其轮询DNS命令控制服务器以获取存储在DNS A记录中的命令，执行这些命令，并通过DNS子域查询返回结果。

值得注意的是，Code Interpreter需要IAM角色来访问AWS资源。然而，一个简单的疏忽可能导致为服务分配过度特权的角色，授予其访问敏感数据的广泛权限。

BeyondTrust表示："这项研究展示了DNS解析如何破坏沙盒代码解释器的网络隔离保证。通过使用这种方法，攻击者可能从Code Interpreter的IAM角色可访问的AWS资源中窃取敏感数据，可能造成停机、客户敏感信息数据泄露或基础设施被删除。"

在2025年9月负责任披露后，亚马逊已确定这是预期功能而非缺陷，敦促客户使用VPC模式而非沙盒模式来实现完全网络隔离。这家科技巨头还建议使用DNS防火墙来过滤出站DNS流量。

Sectigo高级研究员Jason Soroko表示："为了保护敏感工作负载，管理员应盘点所有活跃的AgentCore Code Interpreter实例，并立即将处理关键数据的实例从沙盒模式迁移到VPC模式。在VPC内运行提供了强大网络隔离所需的必要基础设施，允许团队实施严格的安全组、网络ACL和Route53解析器DNS防火墙来监控和阻止未授权的DNS解析。最后，安全团队必须严格审计附加到这些解释器的IAM角色，严格执行最小权限原则以限制任何潜在妥协的爆炸半径。"

这一披露之际，Miggo Security披露了LangSmith中的一个高严重性安全漏洞（CVE-2026-25750，CVSS评分：8.5），该漏洞使用户面临潜在的令牌盗窃和账户接管风险。该问题影响自托管和云部署，已在2025年12月发布的LangSmith版本0.12.71中得到解决。

该缺陷被描述为由于缺乏对baseUrl参数验证而导致的URL参数注入案例，使攻击者能够通过社会工程技术（如诱骗受害者点击特制链接）窃取登录用户的bearer令牌、用户ID和工作空间ID并传输到其控制的服务器。

成功利用该漏洞可能允许攻击者未经授权访问AI的跟踪历史，以及通过审查工具调用暴露内部SQL查询、CRM客户记录或专有源代码。

Miggo研究员Liad Eliyahu和Eliana Vuijsje表示："登录的LangSmith用户仅通过访问攻击者控制的网站或点击恶意链接就可能被妥协。这个漏洞提醒我们，AI可观测性平台现在是关键基础设施。由于这些工具优先考虑开发者灵活性，它们经常无意中绕过安全防护。这种风险加剧是因为，像'传统'软件一样，智能体对内部数据源和第三方服务有深度访问权限。"

SGLang也被标记存在安全漏洞。SGLang是一个流行的开源框架，用于服务大语言模型和多模态AI模型。如果成功利用，可能触发不安全的pickle反序列化，可能导致远程代码执行。

这些漏洞由Orca安全研究员Igor Stepansky发现，截至撰写本文时仍未修复。漏洞简要描述如下：

CVE-2026-3059（CVSS评分：9.8）- 通过ZeroMQ代理的未经身份验证的远程代码执行漏洞，该代理使用pickle.loads()反序列化不可信数据而无需身份验证。它影响SGLang的多模态生成模块。

CVE-2026-3060（CVSS评分：9.8）- 通过分解模块的未经身份验证的远程代码执行漏洞，该模块使用pickle.loads()反序列化不可信数据而无需身份验证。它影响SGLang的编码器并行分解系统。

CVE-2026-3989（CVSS评分：7.8）- 在SGLang的"replay_request_dump.py"中使用不安全的pickle.load()函数而无验证和适当的反序列化，可通过提供恶意pickle文件来利用。

Stepansky表示："前两个允许对任何向网络暴露其多模态生成或分解功能的SGLang部署进行未经身份验证的远程代码执行。第三个涉及崩溃转储重放实用程序中的不安全反序列化。"

CERT协调中心（CERT/CC）在协调通报中表示，当启用多模态生成系统时，SGLang容易受到CVE-2026-3059攻击，当启用编码器并行分解系统时，容易受到CVE-2026-3060攻击。

CERT/CC表示："如果满足任一条件且攻击者知道ZMQ代理监听的TCP端口并可向服务器发送请求，他们可以通过向代理发送恶意pickle文件来利用该漏洞，代理随后将反序列化它。"

建议SGLang用户限制对服务接口的访问，确保它们不暴露给不可信网络。还建议实施足够的网络分段和访问控制，以防止与ZeroMQ端点的未授权交互。

虽然没有证据表明这些漏洞在野外被利用，但监控ZeroMQ代理端口的意外入站TCP连接、SGLang Python进程生成的意外子进程、SGLang进程在异常位置创建文件以及SGLang进程到意外目的地的出站连接至关重要。

Q&A

Q1：Amazon Bedrock AgentCore Code Interpreter的安全问题是什么？

A：该服务的沙盒模式存在安全漏洞，尽管配置为"无网络访问"，但仍允许出站DNS查询。攻击者可利用此漏洞建立命令控制通道，通过DNS进行数据窃取，绕过网络隔离控制，CVSS评分达7.5分。

Q2：LangSmith的CVE-2026-25750漏洞有什么危害？

A：这是一个高严重性漏洞（CVSS评分8.5），由URL参数注入导致。攻击者可通过社会工程技术诱骗用户点击恶意链接，窃取登录用户的bearer令牌、用户ID和工作空间ID，进而获得未授权访问AI跟踪历史等敏感信息的能力。

Q3：SGLang框架存在哪些严重漏洞？

A：SGLang存在三个主要漏洞：CVE-2026-3059和CVE-2026-3060都是CVSS评分9.8的远程代码执行漏洞，分别影响多模态生成模块和编码器并行分解系统；CVE-2026-3989是CVSS评分7.8的不安全反序列化漏洞。这些漏洞目前尚未修复。