サイバーセキュリティ研究者がAIコード実行環境から機密データを不正に取得する新方法を発表

サイバーセキュリティ研究者は、人工知能（AI）コード実行環境から機密データを不正に取得する新方法について詳細を発表しました。この方法は、ドメインネームシステム（DNS）クエリを使用して、Amazon Bedrock AgentCore Code Interpreterのサンドボックスモードで許可されている外部のDNSクエリを悪用します。

Amazon Bedrock AgentCore Code Interpreterの脆弱性

この脆弱性は、BeyondTrustが公開した報告書で明らかにされました。この脆弱性は、CVSSスコアが7.5と評価されていますが、CVE識別子は付与されていません。

Amazon Bedrock AgentCore Code Interpreterは、AIエージェントが安全にコードを実行できるようにする完全管理サービスです。このサービスは、2025年8月にAmazonによってリリースされました。

BeyondTrustの首席セキュリティアーキテクト、Kinnaird McQuade氏は、このサービスが「ネットワークアクセスなし」という設定でもDNSクエリを許可しているため、「脅威アクターがコマンド＆コントロールチャネルやデータ漏洩をDNS経由で行うことが可能」であると述べています。

実験的な攻撃シナリオ

脅威アクターは、この脆弱性を利用してDNSクエリと応答を使用した双方向通信チャネルを設定し、リバースシェルを取得し、機密情報をDNSクエリを通じて漏洩することが可能です。

さらに、このDNS通信メカニズムは、追加のペイロードをコードインタプリタに供給する手段としても悪用できます。これにより、コードインタプリタはDNSコマンド＆コントロール（C2）サーバーからコマンドを取得し、実行し、結果をDNSサブドメインクエリを通じて返すことが可能となります。

対策と修正

Amazonは、2025年9月に責任ある開示を受け、この脆弱性を意図的な機能であると判断し、VPCモードの使用を推奨しています。セクティゴのシニアフェロー、Jason Soroko氏は、管理者がすべてのアクティブなAgentCore Code Interpreterインスタンスを一覧表示し、機密データを扱うインスタンスをすぐにVPCモードに移行することを推奨しています。

LangSmithのアカウント乗っ取り脆弱性

この脆弱性の発表に合わせて、Miggo SecurityはLangSmithの高深刻度のセキュリティ脆弱性（CVE-2026-25750、CVSSスコア：8.5）を発表しました。この脆弱性は、URLパラメータインジェクションにより、サインインユーザーのベアラーテークン、ユーザーID、ワークスペースIDを盗む可能性があります。

SGLangのセキュリティ脆弱性

SGLangでは、不正なピクルスデシリアライゼーションが引き起こす可能性のあるリモートコード実行の脆弱性が発見されました。これらの脆弱性は、Orcaセキュリティ研究者のIgor Stepansky氏によって発見されました。

これらの脆弱性は、SGLangのマルチモーダル生成モジュールと分散モジュールに影響を及ぼします。

対策と修正

SGLangのユーザーは、サービスインターフェースへのアクセスを制限し、信頼できないネットワークに公開されないようにすることを推奨されています。

これらの脆弱性が実世界で悪用された証拠はまだありませんが、ゼロMQブローカーのポートへの予期しないTCP接続、SGLangプロセスによって生成されたファイルの不自然な場所、SGLangプロセスからの予期しない目的地への接続など、異常な動作を監視することが重要です。

---

元記事: https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html