Investigadores de ciberseguridad han desvelado nuevos métodos para exfiltrar datos sensibles de entornos de ejecución de código de inteligencia artificial (IA), utilizando consultas del sistema de nombres de dominio (DNS). Estos hallazgos, junto con divulgaciones separadas sobre **LangSmith** y **SGLang**, resaltan la creciente necesidad de medidas de seguridad robustas en la infraestructura de IA.  ### Vulnerabilidad en el Intérprete de Código AgentCore de Amazon Bedrock Un informe de **BeyondTrust**, publicado esta semana, detalla cómo el modo sandbox del **Intérprete de Código AgentCore de Amazon Bedrock** permite consultas DNS salientes, lo que podría permitir a los atacantes establecer shells interactivos y eludir el aislamiento de red. Este problema, actualmente sin un identificador **CVE**, ha recibido una puntuación CVSS de 7.5 sobre 10.0. El **Intérprete de Código AgentCore de Amazon Bedrock**, lanzado en agosto de 2025, está diseñado para permitir que los agentes de IA ejecuten código de forma segura dentro de entornos sandbox aislados, evitando que las cargas de trabajo de los agentes accedan a sistemas externos. Según **Kinnaird McQuade**, arquitecto jefe de seguridad en **BeyondTrust**, el hecho de que el servicio permita consultas DNS a pesar de una configuración de "sin acceso a la red" podría permitir a "actores de amenazas establecer canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, eludiendo los controles de aislamiento de red esperados." En un ataque de prueba de concepto, los investigadores demostraron cómo un actor de amenazas podría aprovechar este comportamiento para establecer un canal de comunicación bidireccional a través de consultas y respuestas DNS. Esto podría llevar a obtener un shell inverso interactivo, exfiltrar información sensible a través de consultas DNS (asumiendo que el rol IAM tiene los permisos necesarios para acceder a recursos de **AWS** como buckets de **S3**), y ejecutar comandos. Además, el canal de comunicación DNS puede ser explotado para entregar payloads adicionales al Intérprete de Código, lo que le haría consultar a un servidor de comando y control (C2) DNS en busca de comandos almacenados en registros A de DNS, ejecutarlos y devolver los resultados a través de consultas de subdominios DNS. Los investigadores enfatizaron que los roles IAM mal configurados podrían exacerbar el problema. Un rol sobreprivilegiado asignado al servicio podría otorgarle permisos excesivamente amplios para acceder a datos sensibles. "Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de red de los intérpretes de código sandbox", declaró **BeyondTrust**. "Al utilizar este método, los atacantes podrían haber exfiltrado datos sensibles de recursos de AWS accesibles a través del rol IAM del Intérprete de Código, causando potencialmente tiempo de inactividad, filtraciones de datos de información confidencial de clientes o infraestructura eliminada."  Tras una divulgación responsable en septiembre de 2025, **Amazon** clasificó el comportamiento como funcionalidad prevista en lugar de un defecto. Recomiendan usar el modo VPC en lugar del modo sandbox para un aislamiento de red completo y sugieren emplear un firewall DNS para filtrar el tráfico DNS saliente. **Jason Soroko**, miembro senior de **Sectigo**, aconseja: "Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas del Intérprete de Código AgentCore y migrar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC." Añadió: "Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento de red robusto, permitiendo a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS de Route53 Resolver para monitorear y bloquear la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente los roles IAM adjuntos a estos intérpretes, aplicando estrictamente el principio de menor privilegio para restringir el radio de explosión de cualquier compromiso potencial."  ### Vulnerabilidad de Toma de Control de Cuentas en LangSmith En noticias relacionadas, **Miggo Security** divulgó una falla de seguridad de alta gravedad en **LangSmith** (**CVE-2026-25750**, puntuación CVSS: 8.5) que podría llevar al robo de tokens y a la toma de control de cuentas. Este problema, que afecta tanto a implementaciones autohospedadas como en la nube, se abordó en la versión 0.12.71 de **LangSmith**, lanzada en diciembre de 2025. La vulnerabilidad se deriva de la falta de validación en el parámetro baseUrl, lo que permite la inyección de parámetros de URL. Un atacante podría explotar esto engañando a un usuario para que haga clic en un enlace especialmente diseñado, lo que llevaría al robo de su token de portador, ID de usuario y ID de espacio de trabajo. Ejemplos de enlaces incluyen: * Nube - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com * Autohospedado - <dominio_de_LangSmith_del_cliente>/studio/?baseUrl=https://attacker-server.com La explotación exitosa podría otorgar acceso no autorizado al historial de rastreo de la IA, exponiendo potencialmente consultas SQL internas, registros de clientes de CRM o código fuente propietario al revisar las llamadas a herramientas. **Liad Eliyahu** y **Eliana Vuijsje**, investigadores en **Miggo**, declararon: "Un usuario de LangSmith conectado podría ser comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso."  Añadieron: "Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora infraestructura crítica. A medida que estas herramientas priorizan la flexibilidad del desarrollador, a menudo eluden inadvertidamente las salvaguardias de seguridad. Este riesgo se agrava porque, al igual que el software 'tradicional', los Agentes de IA tienen un acceso profundo a fuentes de datos internas y servicios de terceros." ### Fallas de Deserialización Insegura de Pickle en SGLang Finalmente, se han identificado vulnerabilidades en **SGLang**, un popular framework de código abierto para servir modelos de lenguaje grandes y modelos de IA multimodales. La explotación exitosa podría resultar en deserialización insegura de pickle, lo que podría llevar a la ejecución remota de código. Estas vulnerabilidades, descubiertas por **Igor Stepansky**, un investigador de seguridad de Orca, permanecen sin parches. Las fallas son: * **CVE-2026-3059** (puntuación CVSS: 9.8) - Una vulnerabilidad de ejecución remota de código no autenticada a través del broker ZeroMQ (también conocido como ZMQ), que deserializa datos no confiables usando pickle.loads() sin autenticación. Afecta al módulo de generación multimodal de SGLang. * **CVE-2026-3060** (puntuación CVSS: 9.8) - Una vulnerabilidad de ejecución remota de código no autenticada a través del módulo de desagregación, que deserializa datos no confiables usando pickle.loads() sin autenticación. Afecta a SGLang.