Обещание AWS о «полной изоляции» для агентных рабочих процессов ИИ на Bedrock подвергается проверке после того, как исследователи обнаружили, что его режим «песочницы» (sandbox) не так герметичен, как рекламировалось.
В недавнем сообщении компания BeyondTrust подробно описала, как режимом «Песочница» в Code Interpreter сервиса AWS Bedrock AgentCore можно злоупотребить для нарушения границ изоляции с помощью DNS-запросов. Хотя песочница блокирует большую часть исходящего трафика, она по-прежнему разрешает DNS-запросы для A- и AAAA-записей, что потенциально позволяет злоумышленникам установить скрытый канал связи, ведущий к эксфильтрации данных и удаленному выполнению команд.
«Изоляция песочницы AWS Bedrock дала сбой на самом фундаментальном уровне — DNS, и урок заключается не в том, что AWS выпустила баг, а в том, что периметровые средства контроля архитектурно недостаточны против сред выполнения агентного ИИ», — заявил Рам Варадараджан, генеральный директор Acalvio. «Вредоносное ПО не требуется, достаточно лишь соответствующей модели с отравленными входными данными».
Исследователи BeyondTrust заявили в посте в блоге, что AWS признала отчет и воспроизвела проблему в процессе раскрытия информации, но в конечном итоге решила не исправлять это поведение, назвав его «преднамеренной функциональностью, а не дефектом».
«Разрешенный» DNS-путь нарушает изоляцию
Проблема заключается в том, что среда песочницы разрешает исходящие DNS-запросы, которыми можно манипулировать для создания двунаправленного канала связи между ИИ-агентом и внешним сервером, контролируемым злоумышленником. Кодируя данные в DNS-запросах и ответах, команда Phantom Labs из BeyondTrust продемонстрировала эксфильтрацию данных и даже установку интерактивной обратной оболочки, не вызвав никаких сетевых ограничений.
«(Уязвимая) среда разрешает исходящие DNS-запросы для A- и AAAA-записей — структурное разрешение, которое могут использовать злоумышленники для создания двунаправленного канала управления и контроля», — сказал Джейсон Сороко, старший научный сотрудник Sectigo. Как только этот канал установлен, остальное становится вопросом разрешений. Если агент работает с чрезмерно широкими ролями IAM, радиус поражения быстро расширяется.
«Используя этот канал, злоумышленники могут получить интерактивную обратную оболочку и выполнять произвольные команды», — добавил Сороко. «Если среде выполнения ИИ назначены избыточно разрешительные роли IAM, злоумышленники могут незаметно эксфильтровать конфиденциальные облачные данные, такие как содержимое корзин S3, непосредственно через эти разрешенные DNS-запросы».
Технически песочница не взламывается; она обходится с использованием функциональности, которая всегда предназначалась для использования. По крайней мере, так утверждает AWS.
AWS предположительно отменила исправление
BeyondTrust сообщила, что обнаружила уязвимость и уведомила о ней AWS 1 сентября 2025 года через платформу баг-баунти HackerOne. Сообщается, что AWS подтвердила получение отчета и в ноябре внедрила первоначальное исправление в рабочую среду.
Однако через несколько дней BeyondTrust была проинформирована о том, что первоначальное исправление было отменено из-за «других факторов», и что AWS работает над более надежным решением. Наконец, в декабре AWS сообщила BeyondTrust, что исправление не будет внесено, поскольку это поведение является «преднамеренной функциональностью», и вместо этого обновила свою документацию, чтобы уточнить, что режим песочницы разрешает разрешение DNS. Исследователь BeyondTrust получил подарочную карту AWS Gear Shop на 100 долларов за это открытие.
Представитель AWS сообщил CSO, что все сервисы и инфраструктура AWS работают в штатном режиме. «Режим песочницы обеспечивает сетевой доступ исключительно к Amazon S3 для ваших операций с данными, что делает его идеальным для рабочих нагрузок в продакшене, зависящих от данных S3», — сказал представитель. «Разрешение DNS включено для обеспечения успешного выполнения операций с S3».
«Поскольку AWS определила это поведение как намеренную функциональность и решила обновить документацию вместо выпуска исправления, командам безопасности необходимо проактивно смещать свои оборонительные стратегии», — сказал Сороко, рекомендуя командам «составить инвентаризацию всех активных экземпляров Code Interpreter AgentCore» и «мигрировать в режим VPC».
Варадараджан указывает на более адаптивный подход. «Правильный архитектурный ответ — инструментировать саму среду выполнения с помощью артефактов обмана — канарных учетных данных IAM, «медовых» путей S3, DNS-ловушек — которые эффективный агент неизбежно обнаружит именно потому, что он хорошо выполняет свою работу», — сказал он. Сообщается, что AWS присвоила этой проблеме оценку CVSS 7.5. Документация теперь отражает изменение в описании режима песочницы, где указано, что режим «обеспечивает ограниченный внешний сетевой доступ», в отличие от «обеспечивает полную изоляцию без внешнего сетевого доступа», как было ранее.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
