Pesquisadores em cibersegurança revelaram um novo método para extrair dados sensíveis de ambientes de execução de código de inteligência artificial (IA) por meio de consultas ao Domain Name System (DNS).
Em relatório divulgado na segunda-feira, expôs que o modo sandbox do Amazon Bedrock AgentCore Code Interpreter permite consultas DNS de saída, comportamento que pode ser explorado por atacantes para estabelecer shells interativos e burlar o isolamento de rede.
Embora a vulnerabilidade ainda não possua um identificador CVE, recebeu pontuação 7,5 na escala CVSS (de 0 a 10).
O Amazon Bedrock AgentCore Code Interpreter é um serviço totalmente gerenciado que permite que agentes de IA executem código em ambientes sandbox isolados, impedindo que cargas de trabalho acessem sistemas externos.
O serviço foi lançado pela Amazon em agosto de 2025.
Segundo Kinnaird McQuade, a permissão para consultas DNS mesmo com a configuração “no network access” facilita que agentes maliciosos estabeleçam canais de comando e controle (C2) e façam exfiltração de dados via DNS, contornando o isolamento esperado da rede.
Em um cenário experimental de ataque, um invasor pode explorar esse comportamento para criar um canal de comunicação bidirecional usando consultas e respostas DNS, obter um shell reverso interativo, exfiltrar informações sensíveis por meio de consultas DNS — caso a função IAM permitida tenha acesso a recursos AWS, como buckets S3 — e executar comandos remotamente.
Além disso, o mecanismo de comunicação via DNS pode ser abusado para entregar payloads adicionais submetidos ao Code Interpreter, fazendo com que ele consulte servidores C2 DNS em registros do tipo A, execute os comandos neles armazenados e retorne resultados por meio de consultas a subdomínios DNS.
Vale destacar que o Code Interpreter requer um papel IAM para acessar recursos AWS.
Entretanto, configurações incorretas podem atribuir permissões excessivas ao serviço, ampliando o acesso a dados sensíveis.
“A pesquisa comprova que a resolução DNS pode comprometer as garantias de isolamento de rede em ambientes sandbox de intérpretes de código”.
“Com essa técnica, atacantes poderiam exfiltrar dados sensíveis de recursos AWS acessíveis pelo papel IAM do Code Interpreter, causando indisponibilidade, vazamento de informações confidenciais ou até mesmo exclusão de infraestrutura.”
Após divulgação responsável em setembro de 2025, a Amazon avaliou que o comportamento é uma funcionalidade intencional e recomendou aos clientes o uso do modo VPC em vez do modo sandbox para garantir isolamento completo da rede.
Também indicou a adoção de firewalls DNS para filtrar o tráfego de saída.
“Para proteger cargas críticas, administradores devem listar todas as instâncias ativas do AgentCore Code Interpreter e migrar imediatamente as que manipulam dados sensíveis do modo sandbox para o modo VPC”, aconselha Jason Soroko, senior fellow da Sectigo.
“Operar dentro de uma VPC oferece infraestrutura robusta para isolamento, permitindo aplicação de grupos de segurança rigorosos, ACLs de rede e firewalls Route53 Resolver DNS para monitorar e bloquear resoluções DNS não autorizadas.
Além disso, equipes de segurança precisam auditar cuidadosamente as funções IAM associadas, aplicando o princípio do menor privilégio para limitar o impacto de eventuais compromissos.”
### Vulnerabilidade de sequestro de conta no LangSmith
A divulgação ocorre junto com o alerta da Miggo Security sobre uma falha grave no LangSmith (
CVE-2026-25750
, pontuação CVSS 8,5), que expôs usuários ao roubo de tokens e sequestro de contas.
O problema, que afeta versões self-hosted e cloud, foi corrigido na versão 0.12.71, lançada em dezembro de 2025.
A falha decorre da injeção de parâmetros na URL devido à falta de validação no parâmetro baseUrl, permitindo que um invasor roube o token bearer, o ID do usuário e do workspace do usuário autenticado.
O ataque ocorre por meio de engenharia social, induzindo a vítima a clicar em links maliciosos, como:
- Cloud: smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com
- Self-hosted: <domínio_LangSmith_do_cliente>/studio/?baseUrl=https://attacker-server.com
Com a exploração bem-sucedida, o atacante pode acessar histórico de rastreamento da IA, visualizar consultas SQL internas, registros de clientes CRM e código-fonte proprietário, analisando as chamadas das ferramentas.
“Um usuário autenticado no LangSmith pode ser comprometido apenas ao visitar um site controlado pelo atacante ou clicar em um link malicioso”, alertaram os pesquisadores Liad Eliyahu e Eliana Vuijsje, da Miggo.
“Essa vulnerabilidade mostra que plataformas de observabilidade de IA são agora infraestrutura crítica.
Como essas ferramentas priorizam flexibilidade para desenvolvedores, acabam bypassando salvaguardas de segurança, aumentando o risco, pois agentes de IA têm profundo acesso a dados internos e serviços de terceiros.”
### Falhas de desserialização insegura no SGLang
Foram identificadas vulnerabilidades críticas no SGLang, framework open source popular para modelos de linguagem grandes e multimodais, que, se exploradas, podem resultar em desserialização insegura via pickle e execução remota de código.
As falhas, descobertas pelo pesquisador Igor Stepansky, da Orca Security, ainda sem patch, são:
-
CVE-2026-3059
(pontuação CVSS 9,8): execução remota não autenticada via ZeroMQ (ZMQ), que desserializa dados não confiáveis com pickle.loads() sem autenticação na geração multimodal do SGLang.
-
CVE-2026-3060
(pontuação CVSS 9,8): execução remota não autenticada via módulo de disaggregation, que usa pickle.loads() sem autenticação no sistema de disaggregation paralela do codificador do SGLang.
-
CVE-2026-3989
(pontuação CVSS 7,8): uso inseguro da função pickle.load() sem validação no arquivo “replay_request_dump.py”, que pode ser explorado com um arquivo pickle malicioso.
“As duas primeiras permitem execução remota sem autenticação em qualquer instalação do SGLang que exponha seus recursos multimodais ou de disaggregation à rede”, explicou Stepansky.
“A terceira envolve desserialização insegura em uma ferramenta de reprodução de dumps de falhas.”
O CERT Coordination Center (CERT/CC) reforçou que o SGLang é vulnerável ao
CVE-2026-3059
se o sistema multimodal estiver ativado, e ao
CVE-2026-3060
caso o módulo de disaggregation paralela esteja ativo.
“Se o atacante conhecer a porta TCP do broker ZMQ e puder enviar requisições, poderá explorar a vulnerabilidade enviando um arquivo pickle malicioso que será desserializado.”
Usuários do SGLang devem restringir o acesso às interfaces do serviço, evitando exposição a redes não confiáveis.
Recomenda-se implementar segmentação de rede rigorosa e controles de acesso para prevenir interações não autorizadas com os endpoints ZeroMQ.
Embora não haja evidências até o momento de exploração desses bugs em ambientes reais, é fundamental monitorar conexões TCP inesperadas na porta do broker ZeroMQ, processos filhos incomuns do processo Python do SGLang, criação de arquivos em localizações atípicas e conexões de saída para destinos desconhecidos.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...