Problemas em serviços e frameworks de IA afetam isolamento de sandbox, validação de parâmetros e desserialização de objetos, com risco condicionado de roubo de tokens, acesso a dados internos e execução de código.
| Componente | Amazon Bedrock AgentCore Code Interpreter em modo sandbox, LangSmith em implantações cloud e self-hosted, e SGLang com módulos multimodal generation, encoder parallel disaggregation e utilitário replay_request_dump.py. |
| Vetor | Uso de DNS permitido em sandbox sem acesso de rede, injeção no parâmetro baseUrl em LangSmith e desserialização insegura com pickle em interfaces ou arquivos processados pelo SGLang. |
| Impacto | Exfiltração condicionada a permissões do papel IAM no Bedrock, possível roubo de token bearer e tomada de conta no LangSmith, e execução remota de código não autenticada no SGLang quando módulos expostos aceitam tráfego de rede. |
| Prioridade | Migrar workloads sensíveis do Bedrock para modo VPC, atualizar LangSmith para 0.12.71 ou superior, restringir interfaces SGLang em redes confiáveis e auditar privilégios, DNS, processos filhos e conexões inesperadas. |
| Versões | LangSmith corrigido na versão 0.12.71, lançada em dezembro de 2025; falhas do SGLang permaneciam sem correção no momento da divulgação descrita. |
| Artefatos | CVE-2026-25750 no LangSmith; CVE-2026-3059, CVE-2026-3060 e CVE-2026-3989 no SGLang; problema do Amazon Bedrock AgentCore Code Interpreter sem identificador CVE. |
Três classes distintas de falhas em ambientes de inteligência artificial colocam em evidência um problema comum: componentes criados para executar, observar ou servir workloads de IA estão assumindo papéis de infraestrutura crítica, mas podem carregar superfícies de ataque tradicionais. O Amazon Bedrock AgentCore Code Interpreter apresentou um comportamento em que o modo sandbox, mesmo associado à expectativa de ausência de acesso de rede, ainda permitia resolução DNS de saída. O LangSmith teve uma falha de injeção de parâmetro em baseUrl capaz de expor tokens de usuários autenticados. O SGLang, por sua vez, foi associado a vulnerabilidades de desserialização insegura com pickle, incluindo casos de execução remota de código não autenticada quando módulos específicos ficam acessíveis pela rede.
O impacto não é uniforme entre os produtos. No Bedrock, a exfiltração depende do que o papel IAM anexado ao Code Interpreter pode acessar, como buckets S3 ou outros recursos AWS. No LangSmith, o risco recai sobre tokens bearer, identificadores de usuário e espaço de trabalho, com possibilidade de acesso indevido a histórico de traces e dados internos observados em chamadas de ferramentas. No SGLang, a condição crítica é a exposição de interfaces relacionadas a multimodal generation ou encoder parallel disaggregation, em que o broker ZeroMQ pode receber dados serializados não confiáveis e acionar desserialização perigosa.
No Amazon Bedrock AgentCore Code Interpreter, o ponto central é a diferença entre isolamento esperado e tráfego DNS ainda permitido. Em um cenário experimental, consultas e respostas DNS podem formar um canal bidirecional de comunicação. Esse canal não precisa transportar tráfego HTTP convencional para ser útil ao operador: os comandos podem ser representados em respostas DNS e os resultados podem retornar fragmentados em subdomínios consultados pelo ambiente de execução. Essa técnica transforma a resolução de nomes em uma trilha de comando e controle, contornando controles que se concentram apenas em conexões de rede tradicionais.
A gravidade no Bedrock cresce quando o papel IAM anexado ao serviço tem permissões amplas. O Code Interpreter precisa de um papel para acessar recursos AWS, mas uma atribuição excessiva amplia o raio de impacto. Se esse papel puder ler dados sensíveis em S3, por exemplo, a falha de isolamento por DNS passa a ser um caminho de exfiltração condicionado. Se puder alterar recursos, o risco operacional também pode incluir degradação de disponibilidade ou remoção de infraestrutura, sempre limitado às permissões efetivamente concedidas ao serviço.
No LangSmith, a falha CVE-2026-25750 foi descrita como injeção de parâmetro de URL por falta de validação adequada em baseUrl. Um usuário autenticado poderia ser induzido a acessar um endereço preparado que redireciona informações sensíveis para um servidor controlado pelo atacante. O exemplo envolve um link do domínio legítimo com baseUrl apontando para infraestrutura externa; qualquer referência defensiva deve ser tratada como indicador defangado, como smith.langchain[.]com/studio/?baseUrl=hxxps://attacker-server[.]com. A consequência técnica é o vazamento de token bearer, ID de usuário e ID de workspace, o que pode viabilizar tomada de conta e inspeção indevida de dados de observabilidade.
No SGLang, as falhas CVE-2026-3059 e CVE-2026-3060 receberam pontuação CVSS 9.8 e envolvem desserialização de dados não confiáveis com pickle.loads() no broker ZeroMQ. A primeira condição afeta o módulo de geração multimodal quando habilitado; a segunda afeta o sistema de disaggregação paralela do encoder quando habilitado. Um atacante precisa conseguir enviar requisições ao servidor e conhecer a porta TCP em que o broker ZMQ está escutando. A terceira falha, CVE-2026-3989, tem pontuação CVSS 7.8 e envolve pickle.load() sem validação adequada no utilitário replay_request_dump.py, acionável por arquivo pickle malicioso.
A superfície do Bedrock concentra-se em instâncias ativas do AgentCore Code Interpreter que operam em modo sandbox e manipulam dados sensíveis ou têm papéis IAM com privilégios acima do necessário. A ausência de um CVE não reduz a necessidade de revisão, porque a decisão de tratamento descrita considera o comportamento como funcionalidade pretendida, não como defeito corrigido por patch. A contenção, portanto, depende de arquitetura: workloads críticos devem usar modo VPC, controles de resolução DNS e políticas IAM de menor privilégio.
No LangSmith, a superfície inclui implantações cloud e self-hosted anteriores à versão 0.12.71. O risco é maior quando usuários autenticados operam traces que contêm consultas SQL internas, registros de clientes em CRM, código proprietário ou saídas de ferramentas conectadas a sistemas corporativos. Plataformas de observabilidade de IA acumulam material sensível porque registram prompts, chamadas de ferramentas, respostas, erros e metadados de execução; por isso, um token roubado pode dar visibilidade operacional além de uma simples sessão web.
No SGLang, a exposição depende de módulos habilitados e interfaces acessíveis. Serviços que expõem geração multimodal, disaggregação do encoder ou endpoints relacionados ao broker ZeroMQ em redes não confiáveis entram na zona de risco. Mesmo sem evidência de exploração ativa no momento descrito, a combinação de desserialização insegura, ausência de autenticação na condição de ataque e frameworks de IA conectados a GPUs e dados de inferência exige isolamento rigoroso.
- Amazon Bedrock AgentCore Code Interpreter em modo sandbox com DNS de saída permitido e papel IAM capaz de acessar recursos AWS.
- LangSmith cloud e self-hosted antes da versão 0.12.71, especialmente ambientes com traces contendo dados internos ou chamadas de ferramentas sensíveis.
- SGLang com multimodal generation ou encoder parallel disaggregation habilitados e broker ZMQ acessível por redes não confiáveis.
- Ambientes de IA em que serviços de execução, observabilidade ou inferência têm permissões amplas sobre dados, armazenamento, repositórios ou sistemas internos.
A investigação no Bedrock deve começar pela relação entre execução de código, resolução DNS e permissões IAM. Consultas DNS com subdomínios longos, alta cardinalidade, padrões de codificação, sequência temporal compatível com polling ou consultas para domínios recém-observados merecem revisão. Em paralelo, logs de acesso a recursos AWS devem ser correlacionados com janelas de execução do Code Interpreter, principalmente quando houver leitura de objetos sensíveis, listagem incomum de buckets ou chamadas feitas por papéis anexados ao serviço de IA.
No LangSmith, a telemetria deve procurar acessos que incluam baseUrl apontando para destinos externos inesperados, sessões de usuários autenticados seguidas de mudança abrupta de origem, uso de tokens em endereços IP ou regiões incomuns e consultas a traces fora do padrão normal de trabalho. Como a falha envolve engenharia social por clique ou navegação a site controlado por atacante, a análise deve combinar logs web, proxy, identidade e eventos do próprio LangSmith.
No SGLang, a caça deve priorizar conexões TCP inesperadas para a porta do broker ZMQ, processos filhos iniciados pelo processo Python do SGLang, criação de arquivos em diretórios incomuns e conexões de saída para destinos não previstos. A desserialização insegura pode gerar sinais de execução de código no contexto do processo, portanto eventos de EDR envolvendo python, bibliotecas de inferência, subprocessos anômalos e escrita de artefatos temporários são relevantes.
- Consultas DNS de alta entropia ou volume incomum partindo de workloads Bedrock associados ao Code Interpreter.
- Uso de papéis IAM do Code Interpreter para ler, listar ou alterar recursos AWS fora do padrão esperado do workload.
- URLs do LangSmith com parâmetro
baseUrlapontando para infraestrutura externa ou desconhecida. - Reutilização de token bearer, ID de usuário ou ID de workspace a partir de origem incomum após navegação suspeita.
- Conexões inbound para broker ZMQ do SGLang e processos filhos inesperados criados pelo processo Python de inferência.
- Arquivos pickle, dumps de requisição ou artefatos de replay manipulados fora de fluxo administrativo controlado.
A mitigação do Bedrock deve ser tratada como correção arquitetural. Instâncias do AgentCore Code Interpreter que processam dados críticos devem ser inventariadas e migradas do modo sandbox para modo VPC quando o objetivo for isolamento de rede completo. No modo VPC, grupos de segurança, ACLs de rede e Route 53 Resolver DNS Firewall podem restringir resolução de nomes e reduzir a viabilidade de canais de exfiltração por DNS. O papel IAM anexado ao interpretador deve ser revisado com menor privilégio, removendo acesso genérico a S3, permissões administrativas ou ações de escrita que não sejam indispensáveis.
Para LangSmith, a ação principal é atualizar para a versão 0.12.71 ou superior nas implantações self-hosted e validar que ambientes cloud estejam cobertos pela correção. Como tokens podem ter sido expostos em caso de exploração, organizações com sinais compatíveis devem revogar sessões, rotacionar credenciais afetadas e revisar acessos a traces, workspaces e integrações conectadas. Também é necessário reduzir a sensibilidade dos dados registrados em observabilidade de IA, limitando conteúdo de prompts, resultados de ferramentas e consultas internas quando não forem necessários para depuração.
Para SGLang, a contenção imediata é impedir que interfaces de serviço, broker ZMQ e módulos sensíveis fiquem acessíveis a redes não confiáveis. Segmentação, listas de controle de acesso e filtragem de portas devem ser aplicadas antes de expor qualquer workload de inferência. Como as falhas estavam sem correção no momento descrito, a redução de superfície é o controle principal: desabilitar funcionalidades não usadas, restringir acesso administrativo, monitorar processos e tratar arquivos de replay ou dumps como dados potencialmente perigosos até que correções estejam disponíveis e validadas.
- Migrar workloads sensíveis do Bedrock AgentCore Code Interpreter de sandbox para VPC quando houver exigência de isolamento de rede.
- Aplicar DNS Firewall e revisar logs de resolução para bloquear destinos não autorizados e detectar canais por subdomínio.
- Auditar papéis IAM anexados ao Code Interpreter e remover permissões amplas sobre S3 ou recursos AWS não necessários.
- Atualizar LangSmith para 0.12.71 ou superior e revisar tokens, sessões e acessos a workspaces após qualquer indicador de abuso.
- Restringir SGLang a redes confiáveis, segmentar o broker ZMQ e bloquear interação não autenticada com módulos de geração multimodal ou disaggregação.
- Monitorar processos filhos, conexões de saída e criação de arquivos pelo processo SGLang até que versões corrigidas estejam disponíveis e implantadas.
0 Comentários