In einem am Montag veröffentlichten Bericht beschreibt BeyondTrust, wie der Sandbox-Modus von Amazon Bedrock AgentCore Code Interpreter ausgehende DNS-Anfragen erlaubt, obwohl die Konfiguration „kein Netzwerkzugriff" vorgibt. Der von Amazon im August 2025 gestartete, vollständig verwaltete Dienst soll KI-Agenten erlauben, Code in isolierten Sandbox-Umgebungen auszuführen, ohne auf externe Systeme zuzugreifen.
Genau diese DNS-Auflösung untergräbt laut Kinnaird McQuade, Chief Security Architect bei BeyondTrust, die Isolationsgarantien. Angreifer könnten so „Befehls- und Kontrollkanäle sowie Datenabfluss über DNS in bestimmten Szenarien aufbauen" und die erwarteten Kontrollen umgehen. In einem experimentellen Angriffsszenario errichteten die Forscher über DNS-Anfragen und -Antworten einen bidirektionalen Kommunikationskanal, erhielten eine interaktive Reverse-Shell und konnten Befehle ausführen. Verfügt die zugewiesene IAM-Rolle über Zugriff auf AWS-Ressourcen wie S3-Buckets, lassen sich darin gespeicherte Daten ebenfalls über DNS-Abfragen ausschleusen.
Darüber hinaus kann der Mechanismus genutzt werden, um zusätzliche Schadlasten einzuspeisen: Der Code Interpreter fragt dann beim DNS-C2-Server Befehle ab, die in DNS-A-Records hinterlegt sind, führt sie aus und gibt die Ergebnisse über DNS-Subdomain-Anfragen zurück. Zwar benötigt der Dienst eine IAM-Rolle für den Ressourcenzugriff, doch ein einfaches Versehen kann zu einer überprivilegierten Rolle mit weitreichenden Rechten führen.
Nach der Offenlegung im September 2025 wertete Amazon das Verhalten als beabsichtigte Funktion statt als Defekt und empfiehlt Kunden den VPC-Modus für vollständige Netzwerkisolation sowie eine DNS-Firewall zur Filterung ausgehenden Verkehrs. Jason Soroko von Sectigo rät Administratoren, alle aktiven Instanzen zu inventarisieren, kritische Workloads umgehend in den VPC-Modus zu migrieren und die angehängten IAM-Rollen streng nach dem Prinzip der minimalen Rechtevergabe zu prüfen.
Zeitgleich legte Miggo Security eine als hochgradig eingestufte Schwachstelle in LangSmith offen (CVE-2026-25750, CVSS 8,5), die selbst gehostete wie Cloud-Installationen betrifft und mit Version 0.12.71 im Dezember 2025 behoben wurde. Es handelt sich um eine URL-Parameter-Injection infolge fehlender Validierung des baseUrl-Parameters. Über manipulierte Links kann ein Angreifer den Bearer-Token, die Nutzer- und die Workspace-ID eines angemeldeten Anwenders an einen eigenen Server umleiten und damit auf den Trace-Verlauf, interne SQL-Abfragen, CRM-Kundendaten oder proprietären Quellcode zugreifen. Laut den Miggo-Forschern Liad Eliyahu und Eliana Vuijsje genügt schon der Aufruf einer vom Angreifer kontrollierten Seite oder ein Klick auf einen schädlichen Link.
Schließlich wurden Schwachstellen in SGLang gemeldet, einem verbreiteten Open-Source-Framework zum Betrieb großer Sprach- und multimodaler KI-Modelle. Die vom Orca-Forscher Igor Stepansky entdeckten Lücken sind bislang ungepatcht und können unsichere Pickle-Deserialisierung und damit Remote Code Execution auslösen. Laut Stepansky erlauben zwei der Schwachstellen unauthentifizierte Codeausführung gegen jede Installation, die ihre multimodale Generierung oder Disaggregation im Netzwerk freigibt; die dritte betrifft unsichere Deserialisierung in einem Werkzeug zum Abspielen von Absturzberichten.
In einer koordinierten Warnung erklärt das CERT Coordination Center (CERT/CC), SGLang sei bei aktiviertem multimodalem Generierungssystem für CVE-2026-3059 und bei aktiviertem Encoder-Parallel-Disaggregationssystem für CVE-2026-3060 anfällig. Kennt ein Angreifer den TCP-Port des lauschenden ZMQ-Brokers und kann Anfragen senden, lässt sich eine schädliche Pickle-Datei zur Deserialisierung einschleusen. Nutzern wird empfohlen, den Zugriff auf die Dienstschnittstellen einzuschränken, sie nicht in nicht vertrauenswürdigen Netzen freizugeben und die ZeroMQ-Endpunkte durch Netzwerksegmentierung abzuschotten. Hinweise auf eine Ausnutzung in freier Wildbahn liegen nicht vor.
