Falhas em IA de Amazon Bedrock, LangSmith e SGLang permitem vazamento de dados e execução remota de código

Resumo Jornalístico – Cibersegurança em Ambientes de IA: Novas Vulnerabilidades e Métodos de Ataque

Pesquisadores de cibersegurança detalharam recentemente métodos inovadores de exfiltração de dados sensíveis em ambientes de execução de código de inteligência artificial, destacando falhas técnicas em plataformas amplamente utilizadas. Um dos casos envolve o Amazon Bedrock AgentCore Code Interpreter, que, mesmo em modo sandbox — projetado para isolar workloads de IA — permite consultas DNS de saída. Essa brecha pode ser explorada por agentes maliciosos para estabelecer canais de comando e controle, contornar o isolamento de rede e extrair informações confidenciais, especialmente se permissões excessivas forem concedidas por meio de funções IAM.

A pesquisa demonstrou que, ao abusar do tráfego DNS permitido, é possível criar canais bidirecionais para execução remota de comandos e transferência de dados, mesmo sem acesso direto à rede. O mecanismo também pode ser utilizado para entregar cargas maliciosas adicionais ao interpretador de código, que então executa comandos recebidos por meio de registros DNS. Em resposta, a Amazon recomendou a migração de workloads críticos para o modo VPC, que oferece isolamento de rede mais robusto, além da implementação de firewalls DNS e revisão rigorosa das permissões IAM.

Outra vulnerabilidade de alto impacto foi identificada no LangSmith, plataforma de observabilidade para agentes de IA, permitindo o sequestro de contas por meio de injeção de parâmetros em URLs. A falha, corrigida na versão 0.12.71, possibilitava o roubo de tokens de autenticação e acesso não autorizado a históricos de execução, consultas SQL e dados sensíveis, caso o usuário fosse induzido a clicar em links manipulados.

Por fim, o framework open source SGLang, utilizado para servir modelos de linguagem e IA multimodal, apresentou vulnerabilidades críticas de desserialização insegura via pickle, expondo sistemas a execução remota de código sem autenticação. As falhas afetam módulos de geração multimodal e desagregação paralela, podendo ser exploradas por meio do envio de arquivos pickle maliciosos a brokers ZeroMQ expostos. Especialistas recomendam restrição de acesso às interfaces do serviço, segmentação de rede e monitoramento contínuo para sinais de exploração.

Esses casos evidenciam a necessidade de controles técnicos rigorosos em ambientes de IA, incluindo isolamento de rede, validação de entradas e gestão criteriosa de permissões, para mitigar riscos operacionais e proteger ativos digitais sensíveis contra vetores de ataque cada vez mais sofisticados.