Исследователи в области кибербезопасности обнаружили новый критический вектор атаки, нацеленный на среды выполнения кода искусственного интеллекта. Метод использует запросы системы доменных имен (DNS) для эксфильтрации конфиденциальных данных и, в тяжелых случаях, установки каналов удаленного управления и контроля. Уязвимости, выявленные в известных платформах—включая интерпретатор кода AgentCore в Amazon Bedrock, сервис трассировки и мониторинга LangSmith от LangChain и сервер SGLang—демонстрируют системные слабости в том, как AI-песочницы обеспечивают сетевое изоляцию. Эти недостатки могут позволить злоумышленникам обойти предполагаемые средства контроля безопасности, что приведет к значительным утечкам данных и компрометации систем.
Подробный отчет от BeyondTrust выделяет фундаментальный изъян в интерпретаторе кода AgentCore Amazon Bedrock, полностью управляемом сервисе, запущенном в августе 2025 года и предназначенном для выполнения кода AI-агентами в изолированных песочницах. Несмотря на конфигурацию «без доступа к сети», режим песочницы разрешает исходящие DNS-запросы. Это упущение, имеющее оценку CVSS 7.5 (высокая серьезность), позволяет злоумышленникам установить двустороннюю связь для управления. Злоумышленник может злоупотребить этим, чтобы настроить интерактивную обратную оболочку, эксфильтрировать данные через DNS-запросы—особенно если к сервису привязана роль AWS IAM с избыточными привилегиями—и доставлять дополнительные полезные нагрузки. Систему можно заставить опрашивать вредоносный DNS-сервер на наличие команд, хранящихся в DNS A-записях, выполнять их и возвращать результаты через запросы поддоменов, полностью обходя ожидаемую сетевую изоляцию.
Последствия для безопасности выходят за рамки одного вендора. Исследователи также продемонстрировали аналогичные техники DNS-эксфильтрации против сервиса трассировки и мониторинга LangSmith от LangChain. Манипулируя кодом, сгенерированным ИИ в рамках оценки LangSmith, злоумышленники могут внедрять вредоносные DNS-запросы для утечки переменных среды, API-ключей и других секретов. Кроме того, сервер SGLang, высокопроизводительная среда выполнения для развертывания больших языковых моделей, оказался уязвим к атаке обхода пути. Эта уязвимость позволяет читать произвольные файлы на сервере, которые затем можно эксфильтрировать с использованием того же DNS-метода. В совокупности эти случаи указывают на тенденцию, когда инструменты разработки и вывода ИИ в стремлении предоставить мощные возможности выполнения кода недостаточно изолировали сетевые взаимодействия.
Для устранения угроз требуются немедленные и многоуровневые меры защиты. Сообщается, что Amazon устранила проблему в Bedrock, подчеркнув, что сервис предназначен для запрета доступа к сети и что клиенты должны следовать лучшим практикам IAM. LangChain выпустила патчи для LangSmith, а сопровождающие SGLang исправили уязвимость обхода пути. Для организаций, использующих эти инструменты ИИ, критически важными шагами являются: строгое применение принципа наименьших привилегий к ролям IAM, привязанным к AI-сервисам; сегментация сетей разработки и производства ИИ; мониторинг аномальных шаблонов DNS-запросов (особенно длинных, кодированных поддоменов); и обработка интерпретаторов кода ИИ с той же тщательностью безопасности, что и любого приложения, обращенного к интернету. По мере того как AI-агенты становятся более автономными и способными выполнять код, обеспечение их истинной операционной изоляции имеет paramount значение для предотвращения новых атак по эксфильтрации данных и удаленному выполнению кода.
