In den letzten Wochen hat die Sicherheit um die Plattformen, die Code für künstliche Intelligenz Agenten laufen, die Alarme wieder aktiviert. Cybersecurity-Forscher haben eine Technik beschrieben, die sensible Informationen durch die Nutzung von Domain Name System (DNS) Konsultationen aus Umgebungen, die auf Papier isoliert werden sollten, extrahieren kann. Der Bericht wird veröffentlicht von Über uns Details, wie der Sandbox-Modus des Amazon Bedrock AgentCore Code Interpreter ermöglicht es Ihnen, DNS nach außen zu lösen, die Steuerungs- und Steuerungskanäle und Exfiltrationsrouten öffnen können, auch wenn die Konfiguration "ohne Netzwerkzugriff" anzeigt.
Der Vektor ist überraschend einfach in seiner Idee: Wenn eine Sandbox-Umgebung DNS-Beratungen auf Domänen ausgeben kann, die von einem Angreifer kontrolliert werden, können diese Anfragen zu Zwei-Wege-Nachrichten werden. In der Praxis gelang es Forschern, eine interaktive Kommunikation zu montieren, die das Senden von Befehlen und das Empfangen von Antworten mithilfe von DNS-Aufzeichnungen ermöglicht, eine interaktive Reverse Shell und Filterdaten, die in AWS-Diensten gespeichert sind, zu erhalten - zum Beispiel in S3 Buckets - vorausgesetzt, dass die IAM-Rolle, die mit dem Code-Interpreter verbunden ist, übermäßige Berechtigungen besitzt. Über die Extraktion hinaus kann der Mechanismus dazu dienen, Lasten zu liefern, die der Code Interpreter selbst downloadt und läuft, indem er Anweisungen in A-Daten eines schädlichen DNS-Servers gespeichert.
Die Feststellung wird als ein ernstes Problem bezeichnet: Obwohl es zum Zeitpunkt des Schreibens keine CVE-Kennung hat, hat BeyondTrust eine Schwere zugewiesen, die Aufmerksamkeit erregt. Amazon hat seinerseits nach der verantwortlichen Offenlegung im September 2025 dieses Verhalten als beabsichtigte Funktionalität definiert und empfiehlt, kritische Belastungen in den VPC-Modus zu migrieren, um eine echte Netzwerkisolation zu erreichen. Ihr Blog und Ihre Dokumentation erklärt die Art des Dienstes und die Bereitstellungsoptionen; zum Beispiel können Sie die offizielle Einführung in den Code Interpreter im AWS-Blog sehen Amazon Bedrock Agent Interpreter des Kernkodex und der technische Leitfaden in der amtlichen Dokumentation von AWS. Für diejenigen, die eine vollständige Isolation suchen, zielt AWS darauf ab, innerhalb eines VPC zu arbeiten und eine DNS-Firewall zu verwenden, um unerwünschte Auflösungen zu blockieren; ein nützlicher Hinweis auf diesen Schutz ist der Artikel über Route 53 Resolver DNS Firewall.
Dieser Vorfall zeigt ein wiederkehrendes Muster: die Kombination der Ausführung des dynamischen Codes (spezifisch für die IA-Agenten) und schlecht kalibrierte Berechtigungen können den Schaden multiplizieren. Hat ein Code ausgeführter Dienst eine zu permissive Rolle zugewiesen, erhöht sich der Wert jeder schädlichen DNS-Abfrage, weil der Angreifer beispielsweise den Dolmetscher bitten könnte, Ressourcen zu lesen, auf die diese Rolle Zugriff hat und diese Informationen über Subdomains zurückgeben. Die unmittelbare praktische Empfehlung, die viele Experten wiederholen, ist die Überprüfung und Begrenzung der IAM-Rollen im Zusammenhang mit diesen Dienstleistungen, die Umsetzung das Prinzip von weniger Privilegien und die Migration sensibler Instanzen auf Umgebungen mit strengeren Netzregeln.
Diese Warnungswelle ist nicht allein. Parallel zur Bedrock-Forschung haben andere Plattformen und Bibliotheken des IA-Ökosystems schwere Schwachstellen gezeigt. Die LangSmith-Beobachtungsplattform erlitt einen Fehler, der es einem Angreifer erlaubte, Token zu stehlen und mit Benutzerkonten durch die Handhabung eines URL-Parameters gemacht werden; dieses Problem erhielt die Bezeichnung CVE-2026-25750 und wurde in Version 0.12.71 korrigiert, wie von den Entdeckern in ihrer Analyse beschrieben Miggo Security. Das Risiko war, dass ein Angreifer mit einem engagierten Token die Spurgeschichte der IA überprüfen und Anrufe an Tools mit internen Abfragen, CRM-Aufzeichnungen oder privaten Codefragmenten wiederherstellen kann.
Eine weitere Reihe von besorgniserregenden Schwachstellen betrifft SGLang, ein Open-Source-Rahmen, um Sprache und multimodale Modelle zu bedienen. Orca-Forscher beschrieben unsichere Deserialisierungsausfälle mit Pickle, die in bestimmten Szenarien Remote-Code Ausführung ohne Authentifizierung ermöglichen. Die Probleme erhalten die öffentliche Identität in den CVE-Aufzeichnungen als CVE-2026-3059, CVE-2026-3060 und CVE-2026-3989, und Orca veröffentlichte eine technische Analyse, die es verdient, ruhig zu lesen Hier.. CERT / CC gab auch eine koordinierte Warnung aus, die darauf hindeutete, dass ein Angreifer schädliche Pickle-Dateien an den ZeroMQ-Broker senden und die Deserialisierung unzuverlässiger Daten verursachen kann. nach der Bekanntmachung.
Die Lehren sind für Organisationen jeder Größe klar und anwendbar: Die Ausführungsumgebungen von Agenten und Modellen sind bereits Teil des Rückgrats vieler Operationen und sollten daher als kritische Infrastruktur behandelt werden. Die Migration sensibler Lasten auf virtuelle private Netzwerke und die Stärkung der DNS-Steuerelemente reduziert die Risikooberfläche, ersetzt aber nicht die Notwendigkeit, Berechtigungen zu überprüfen, Standardeinstellungen zu überprüfen und schnell zu aktualisieren, wenn ein Patch veröffentlicht wird. Außerdem ist das Aussetzen von ZeroMQ-Schnittstellen oder ähnlich zu unzuverlässigen Netzwerken eine Einladung zum Risiko; diese Türen müssen durch Segmentierung und Regeln geschlossen werden, die den Zugang zu bestimmten Hosts und Ports begrenzen.
Aus betrieblicher Sicht ist es angebracht, eine dedizierte Überwachung durchzuführen: Warnungen für Prozesse, die ungewöhnliche ausgehende Verbindungen öffnen, Dateien auf ausländischen Strecken oder für DNS-Verkehr zu ungewöhnlichen Domänen erstellen. Im Fall von LangSmith war die sofortige Aktion, auf eine korrigierte Version zu aktualisieren; im Fall von SGLang, zusätzlich zu Patches, ist die Minderung, den Umfang der Broker einzuschränken und Netzwerksteuerungen anzuwenden. Amazon hat zum Teil ausdrücklich empfohlen, dass Kunden mit kritischen Belastungen den Sandkasten-Modus verlassen und sich zu bewegen VPC um Isolation zu erreichen und DNS-Filterlösungen wie von AWS erwähnt zu verwenden.
Schließlich erinnert diese Episode daran, dass Innovation in IA neue Sicherheitsprobleme bringt: dynamische Ausführung, Integration mit Cloud-Services und Flexibilität für Entwickler koexistiert mit Vektoren, die Angreifer ketten können. Die Antwort ist nicht, diese Werkzeuge aufzugeben, sondern sie mit robusten Sicherheitspolitiken, regelmäßigen Genehmigungsprüfungen und einem Zyklus von Parken und Audits als agil zu verwalten, wie die Entwicklung, die diese Plattformen ernährt. Die durch die Analyse von Industriesignaturen und offiziellen Mitteilungen - wie sie mit diesem Artikel verbunden sind - zu informieren ist ein wesentlicher Bestandteil dieser Verteidigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...