Die Cybersicherheitsfirma BeyondTrust hat eine bislang unbekannte Angriffsmethod gegen AI-Sandbox-Umgebungen dokumentiert, die das Konzept der Netzwerkisolation grundlegend unterminiert. Der Angriffsmechanismus nutzt DNS-Abfragen als Kanal für Datenexfiltration und Command-and-Control-Kommunikation – scheinbar ein Umweg, der sich jedoch als höchst effektiv erweist.
Amazon Bedrock AgentCore Code Interpreter, ein im August 2025 gestarteter Service zur sicheren Codeausführung in isolierten Sandbox-Umgebungen, sollte KI-Agenten davon abhalten, auf externe Systeme zuzugreifen. Die kritische Schwachstelle besteht darin, dass ausgehende DNS-Queries trotz deaktiviertem Netzwerkzugriff möglich sind. Mit einem CVSS-Score von 7,5/10 ermöglicht dies Angreifern, bidirektionale Kommunikationskanäle aufzubauen, interaktive Reverse-Shells zu etablieren und Daten über DNS abzufluchen. Besonders problematisch: Wenn dem Service überprivilegierte IAM-Rollen zugewiesen werden, könnte ein Angreifer auf AWS-Ressourcen wie S3-Buckets zugreifen. Amazon empfahl daraufhin, statt Sandbox-Mode den VPC-Mode zu nutzen und DNS-Firewalls einzusetzen – eine Lösung, die deutlich macht, dass die ursprüngliche Architektur Schwächen aufwies.
Parallel dazu offenbarte Miggo Security eine hochgefährliche Schwachstelle in LangSmith (CVE-2026-25750, CVSS 8,5). Die Plattform, die KI-Systeme überwacht und deren Verhalten nachverfolgt, litt unter einer URL-Parameter-Injection-Schwachstelle. Durch Social Engineering konnten Angreifer Bearer-Token, Nutzer-IDs und Workspace-IDs von angemeldeten Benutzern stehlen. Dies hätte Zugriff auf Trace-Verlauf, interne SQL-Queries und sogar CRM-Daten ermöglicht. LangSmith behob die Lücke in Version 0.12.71.
Das Open-Source-Framework SGLang für Large Language Models birgt noch ungepatschte Verwundbarkeiten (CVE-2026-3059, CVE-2026-3060). Forscher Igor Stepansky entdeckte unsichere Pickle-Deserialisierungen in Multimodal-Generierungs- und Disaggregationsfunktionen, die unauthentifizierte Remote Code Execution ermöglichen. Angreifer müssen nur Zugriff auf den ZeroMQ-Broker-Port haben und eine manipulierte Pickle-Datei senden.
Für deutsche Organisationen gilt: Alle KI-Infrastrukturen sollten sofort überprüft werden. Administrator sollten IAM-Rollen minimieren, DNS-Filter implementieren und Netzwerkzugriff beschränken. Die Vorkommnisse zeigen: AI-Observability-Plattformen sind zur kritischen Infrastruktur geworden – Sicherheit darf dabei nicht vernachlässigt werden.